{"id":1597731,"date":"2025-03-27T07:17:38","date_gmt":"2025-03-27T09:17:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/150-000-sites-compromis-par-linjection-javascript-faisant-la-promotion-des-plateformes-de-jeu-chinois\/"},"modified":"2025-03-27T07:17:44","modified_gmt":"2025-03-27T09:17:44","slug":"150-000-sites-compromis-par-linjection-javascript-faisant-la-promotion-des-plateformes-de-jeu-chinois","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/150-000-sites-compromis-par-linjection-javascript-faisant-la-promotion-des-plateformes-de-jeu-chinois\/","title":{"rendered":"150 000 sites compromis par l&#8217;injection JavaScript faisant la promotion des plateformes de jeu chinois"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 malveillante \/ site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/150-000-sites-compromis-par-linjection-JavaScript-faisant-la-promotion.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une campagne en cours qui infiltre des sites Web l\u00e9gitimes avec des injects de JavaScript malveillant pour promouvoir les plateformes de jeu de langue chinoise a ballonn\u00e9 pour compromettre environ 150 000 sites \u00e0 ce jour.<\/p>\n<p>&#8220;L&#8217;acteur de menace a l\u00e9g\u00e8rement remani\u00e9 son interface mais s&#8217;appuie toujours sur une injection d&#8217;Iframe pour afficher une superposition compl\u00e8te dans le navigateur du visiteur&#8221;, a d\u00e9clar\u00e9 Himanshu Anand, analyste de la s\u00e9curit\u00e9, C \/ Side Himanshu Anand <a rel=\"noopener nofollow\" href=\"https:\/\/cside.dev\/blog\/over-150k-websites-hit-by-full-page-hijack-linking-to-chinese-gambling-sites\" target=\"_blank\">dit<\/a> dans une nouvelle analyse.<\/p>\n<p>Au cours de l&#8217;\u00e9criture, il y a <a rel=\"noopener nofollow\" href=\"https:\/\/publicwww.com\/websites\/%22%26%2347%3B%26%2364%3B%26%23112%3B%26%23117%3B%26%2398%3B%26%23108%3B%26%23105%3B%26%2399%3B%26%2347%3B%26%2398%3B%26%2397%3B%26%23115%3B%26%23101%3B%26%2346%3B%26%23106%3B%26%23115%3B%22\/\" target=\"_blank\">Plus de 135 800 sites<\/a> contenant la charge utile JavaScript, par statistiques de publicwww.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Comme l&#8217;a document\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 du site Web le mois dernier, la campagne consiste \u00e0 infecter des sites Web avec un JavaScript malveillant con\u00e7u pour d\u00e9tourner la fen\u00eatre du navigateur de l&#8217;utilisateur pour rediriger les visiteurs du site vers des pages faisant la promotion des plateformes de jeu.<\/p>\n<p>Les redirections se sont r\u00e9v\u00e9l\u00e9es via JavaScript h\u00e9berg\u00e9 sur cinq domaines diff\u00e9rents (par exemple, &#8220;Zuizhongyj[.]com &#8220;) qui, \u00e0 leur tour, servent la charge utile principale responsable de l&#8217;ex\u00e9cution des redirections.<\/p>\n<p>C \/ Side a d\u00e9clar\u00e9 qu&#8217;il a \u00e9galement observ\u00e9 une autre variante de la campagne qui implique d&#8217;injecter des scripts et des \u00e9l\u00e9ments d&#8217;IFRAME dans les sites de paris l\u00e9gitimes de HTML tels que BET365 en utilisant des logos officiels et une marque.<\/p>\n<p>L&#8217;objectif final est de servir une superposition compl\u00e8te en utilisant CSS qui fait afficher la page de destination de jeu malveillante lors de la visite de l&#8217;un des sites infect\u00e9s \u00e0 la place du contenu Web r\u00e9el.<\/p>\n<p>&#8220;Cette attaque montre comment les acteurs de la menace s&#8217;adaptent constamment, augmentant leur port\u00e9e et utilisant de nouvelles couches d&#8217;obscurcissement&#8221;, a d\u00e9clar\u00e9 Anand. &#8220;Des attaques c\u00f4t\u00e9 client comme celles-ci sont en augmentation, avec de plus en plus de r\u00e9sultats chaque jour.&#8221;<\/p>\n<p>La divulgation intervient alors que Godaddy a r\u00e9v\u00e9l\u00e9 que les d\u00e9tails d&#8217;une op\u00e9ration de logiciels malveillants de longue date baptis\u00e9 Dollyway World Domination qui ont compromis plus de 20 000 sites Web dans le monde depuis 2016. En f\u00e9vrier 2025, plus de 10 000 sites WordPress uniques ont \u00e9t\u00e9 victimes du programme.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743067057_460_150-000-sites-compromis-par-linjection-JavaScript-faisant-la-promotion.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743067057_460_150-000-sites-compromis-par-linjection-JavaScript-faisant-la-promotion.png\" alt=\"Plateformes de jeu chinois\" border=\"0\" data-original-height=\"727\" data-original-width=\"1600\" title=\"Plateformes de jeu chinois\"\/><\/a><\/div>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743067058_313_150-000-sites-compromis-par-linjection-JavaScript-faisant-la-promotion.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743067058_313_150-000-sites-compromis-par-linjection-JavaScript-faisant-la-promotion.png\" alt=\"Plateformes de jeu chinois\" border=\"0\" data-original-height=\"728\" data-original-width=\"1600\" title=\"Plateformes de jeu chinois\"\/><\/a><\/div>\n<p>&#8220;L&#8217;it\u00e9ration actuelle [&#8230;] cible principalement les visiteurs des sites WordPress infect\u00e9s via des scripts de redirection inject\u00e9s qui utilisent un r\u00e9seau distribu\u00e9 de n\u0153uds de syst\u00e8me de direction de la circulation (TDS) h\u00e9berg\u00e9s sur des sites Web compromis &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.godaddy.com\/resources\/news\/dollyway-world-domination\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Ces scripts redirigent les visiteurs du site vers diverses pages d&#8217;escroquerie via des r\u00e9seaux de courtiers de trafic associ\u00e9s \u00e0 Vextrio, l&#8217;une des plus grandes r\u00e9seaux d&#8217;affiliation cybercriminale connus qui exploitent des techniques DNS sophistiqu\u00e9es, des syst\u00e8mes de distribution du trafic et des algorithmes de g\u00e9n\u00e9ration de domaine pour fournir des logiciels malices et des escroqueries sur les r\u00e9seaux mondiaux.&#8221;<\/p>\n<p>Les attaques commencent par l&#8217;injection d&#8217;un script g\u00e9n\u00e9r\u00e9 dynamiquement dans le site WordPress, redirigeant finalement les visiteurs vers les liens Vextrio ou Lospollos. L&#8217;activit\u00e9 aurait \u00e9galement utilis\u00e9 des r\u00e9seaux publicitaires comme <a rel=\"noopener nofollow\" href=\"https:\/\/research.checkpoint.com\/2018\/malvertising-campaign-based-secrets-lies\/\" target=\"_blank\">H\u00e9lice<\/a> pour mon\u00e9tiser le trafic \u00e0 partir de sites compromis.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les injections malveillantes sur le c\u00f4t\u00e9 du serveur sont facilit\u00e9es via le code PHP ins\u00e9r\u00e9 dans les plugins actifs, tout en prenant des mesures pour d\u00e9sactiver les plugins de s\u00e9curit\u00e9, supprimer les utilisateurs d&#8217;administrateur malveillant et siphon les informations d&#8217;administration d&#8217;administration l\u00e9gitimes pour atteindre leurs objectifs.<\/p>\n<p>Godaddy a depuis r\u00e9v\u00e9l\u00e9 que le Dollyway TDS exploite un r\u00e9seau distribu\u00e9 de sites WordPress compromis en tant que TDS et n\u0153uds de commandement et de contr\u00f4le (C2), atteignant 9 \u00e0 10 millions d&#8217;impressions de pages mensuelles. De plus, les URL de redirection Vextrio se sont av\u00e9r\u00e9es \u00eatre obtenues \u00e0 partir du <a rel=\"noopener nofollow\" href=\"https:\/\/www.qurium.org\/forensics\/when-kehr-meets-vextrio\/\" target=\"_blank\">Lospollos<\/a> r\u00e9seau de courtiers de trafic.<\/p>\n<p>Vers novembre 2024, les op\u00e9rateurs de Dollyway auraient supprim\u00e9 plusieurs de leurs serveurs C2 \/ TDS, le script TDS obtenant les URL de redirection \u00e0 partir d&#8217;un canal t\u00e9l\u00e9gramme nomm\u00e9 TrafficRirect.<\/p>\n<p>&#8220;La perturbation de la relation de Dollyway avec Lospollos marque un tournant important dans cette campagne de longue dur\u00e9e&#8221;, Sinegubko <a rel=\"noopener nofollow\" href=\"https:\/\/www.godaddy.com\/resources\/news\/dollyway-malware-c2-tds\" target=\"_blank\">not\u00e9<\/a>. &#8220;Alors que les op\u00e9rateurs ont d\u00e9montr\u00e9 une adaptabilit\u00e9 remarquable en transitionnant rapidement vers des m\u00e9thodes de mon\u00e9tisation du trafic alternatives, les changements d&#8217;infrastructure rapides et les pannes partielles sugg\u00e8rent un certain niveau d&#8217;impact op\u00e9rationnel.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/150000-sites-compromised-by-javascript.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 mars 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 malveillante \/ site Web Une campagne en cours qui infiltre des sites Web l\u00e9gitimes avec des injects de JavaScript malveillant pour promouvoir les plateformes de jeu de langue chinoise a ballonn\u00e9 pour compromettre environ 150 000 sites \u00e0 ce jour. &#8220;L&#8217;acteur de menace a l\u00e9g\u00e8rement remani\u00e9 son interface mais s&#8217;appuie toujours [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1597732,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,5663,4168,20350,79002,274264,4161,274263,6124,133,2387,7305,412,11965,274267,4160,164,3855,8048,238617,246491,4172,2783,79016,4166,4164],"class_list":["post-1597731","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-chinois","tag-comment-pirater","tag-compromis","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-faisant","tag-javascript","tag-jeu","tag-linjection","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-par","tag-plateformes","tag-promotion","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sites","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1597731","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1597731"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1597731\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1597732"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1597731"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1597731"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1597731"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}