Les sites WordPress sont pirat\u00e9s pour afficher des pages de protection DDoS Cloudflare frauduleuses qui conduisent \u00e0 la livraison de logiciels malveillants tels que NetSupport RAT et Raccoon Stealer.<\/p>\n
“Une r\u00e9cente augmentation des injections de JavaScript ciblant les sites WordPress a entra\u00een\u00e9 de fausses invites d’emp\u00eachement DDoS qui conduisent les victimes \u00e0 t\u00e9l\u00e9charger des logiciels malveillants de cheval de Troie d’acc\u00e8s \u00e0 distance”, a d\u00e9clar\u00e9 Ben Martin de Sucuri. a dit<\/a> dans un article publi\u00e9 la semaine derni\u00e8re.<\/p>\n Les pages de protection contre le d\u00e9ni de service distribu\u00e9 (DDoS) sont des v\u00e9rifications de navigateur essentielles con\u00e7ues pour dissuader le trafic ind\u00e9sirable et malveillant g\u00e9n\u00e9r\u00e9 par des robots de consommer de la bande passante et de supprimer des sites Web.<\/p>\n Le nouveau vecteur d’attaque consiste \u00e0 d\u00e9tourner des sites WordPress pour afficher de fausses fen\u00eatres contextuelles de protection DDoS qui, lorsqu’elles sont cliqu\u00e9es, conduisent finalement au t\u00e9l\u00e9chargement d’un fichier ISO malveillant (“security_install.iso”) sur les syst\u00e8mes de la victime.<\/p>\n Ceci est r\u00e9alis\u00e9 en injectant trois lignes de code dans un fichier JavaScript (“jquery.min.js”), ou alternativement dans le fichier de th\u00e8me actif du site Web, qui, \u00e0 son tour, charge du JavaScript fortement obscurci \u00e0 partir d’un serveur distant.<\/p>\n “Ce JavaScript communique ensuite avec un deuxi\u00e8me domaine malveillant qui charge plus de JavaScript qui lance l’invite de t\u00e9l\u00e9chargement du fichier .iso malveillant”, a expliqu\u00e9 Martin.<\/p>\n Apr\u00e8s le t\u00e9l\u00e9chargement, les utilisateurs sont invit\u00e9s \u00e0 entrer un code de v\u00e9rification g\u00e9n\u00e9r\u00e9 \u00e0 partir de l’application dite “DDoS Guard” afin d’inciter la victime \u00e0 ouvrir le fichier d’installation militaris\u00e9 et \u00e0 acc\u00e9der au site Web de destination.<\/p>\n Bien que le programme d’installation affiche un code de v\u00e9rification pour maintenir la ruse, en r\u00e9alit\u00e9, le fichier est un cheval de Troie d’acc\u00e8s \u00e0 distance appel\u00e9 RAT NetSupport<\/a>qui est li\u00e9 \u00e0 la famille de logiciels malveillants FakeUpdates (alias SocGholish) et installe \u00e9galement secr\u00e8tement Raccoon Stealer, un cheval de Troie voleur d’informations d’identification disponible \u00e0 la location sur des forums clandestins.<\/p>\n Le d\u00e9veloppement est un signe que les attaquants cooptent de mani\u00e8re opportuniste ces m\u00e9canismes de s\u00e9curit\u00e9 familiers dans leurs propres campagnes dans le but d’inciter les visiteurs du site Web sans m\u00e9fiance \u00e0 installer des logiciels malveillants.<\/p>\n Pour att\u00e9nuer ces menaces, les propri\u00e9taires de sites Web sont tenus de placer leurs sites derri\u00e8re un pare-feu, d’utiliser des contr\u00f4les d’int\u00e9grit\u00e9 des fichiers et d’appliquer une authentification \u00e0 deux facteurs (2FA). Les visiteurs du site Web sont \u00e9galement invit\u00e9s \u00e0 activer 2FA, \u00e0 \u00e9viter d’ouvrir des fichiers suspects et \u00e0 utiliser un bloqueur de script dans les navigateurs Web pour emp\u00eacher l’ex\u00e9cution de JavaScript.<\/p>\n “L’ordinateur infect\u00e9 pourrait \u00eatre utilis\u00e9 pour voler les m\u00e9dias sociaux ou les informations d’identification bancaires, faire exploser un ran\u00e7ongiciel ou m\u00eame pi\u00e9ger la victime dans un r\u00e9seau ‘esclave’ inf\u00e2me, extorquer le propri\u00e9taire de l’ordinateur et violer sa vie priv\u00e9e – tout d\u00e9pend de ce que les attaquants d\u00e9cident de faire. avec l’appareil compromis \u00bb, a d\u00e9clar\u00e9 Martin.<\/p>\n Ce n’est pas la premi\u00e8re fois que des fichiers \u00e0 th\u00e8me ISO et des contr\u00f4les CAPTCHA sont utilis\u00e9s pour fournir le NetSupport RAT.<\/p>\n En avril 2022, eSentire divulgu\u00e9<\/a> une cha\u00eene d’attaque qui a exploit\u00e9 un faux programme d’installation de Chrome pour d\u00e9ployer le cheval de Troie, qui a ensuite ouvert la voie \u00e0 l’ex\u00e9cution de Mars Stealer. De m\u00eame, une campagne de phishing sur le th\u00e8me de l’IRS d\u00e9taill\u00e9e par Cofense<\/a> et Technologie mondiale Walmart<\/a> impliquait l’utilisation de faux puzzles CAPTCHA sur des sites Web pour diffuser le m\u00eame logiciel malveillant.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\")
<\/a><\/div>\n![\"Attaque](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661349757_575_Les-pirates-utilisent-de-fausses-pages-de-protection-DDoS-pour.jpg\" "\\"Attaque")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n