vous avez été piraté ? obtenir de l'aide
Aide Immédiate

Alerte Malware : Fausse Vérification Cloudflare

faux cloudfaore

Une nouvelle infection liée à Cloudflare cible à nouveau les sites WordPress. Cette nouvelle variante de malware imite une page de vérification Cloudflare légitime, trompant ainsi les victimes en les incitant à suivre diverses commandes et à télécharger des logiciels malveillants.

Ce type de malware n’est pas nouveau – j’avais déjà écrit sur une campagne similaire ciblant les sites WordPress en mars dernier. La différence avec cette nouvelle infection réside dans l’emplacement du malware, qui est dispersé parmi plusieurs thèmes et plugins factices. De plus, cette variante est livrée en trois étapes, ce qui aide l’attaquant à éviter la détection et à maintenir le contrôle sur ce qui est livré à chaque étape.

Voici la fausse page Cloudflare classique :

Plongeons dans les détails pour comprendre où se trouve ce malware et ce qu’il fait.

Analyse de haut niveau de l’infection Cloudflare factice

Commençons par revoir les bases de ce malware et son comportement. L’infection débute en imitant une page de vérification Cloudflare légitime, demandant aux utilisateurs d’effectuer les actions suivantes :

  • Vérifier qu’ils sont humains en cochant une case.
  • Diriger l’utilisateur à appuyer sur Win + R pour ouvrir la commande Exécuter.
  • Demander à l’utilisateur de copier et coller une commande malveillante.

Si la victime suit les instructions, elle finira par télécharger un fichier exécutable Windows malveillant qui infectera sa machine. Ce type d’infection est particulièrement dangereux en raison des caractéristiques suivantes :

  • La fausse page Cloudflare ressemble presque à une véritable invite Cloudflare.
  • La charge utile est livrée via une commande Powershell obfusquée, capable d’échapper aux outils antivirus de base.
  • L’invite semble inoffensive, augmentant la probabilité que des utilisateurs ayant des connaissances techniques limitées suivent les instructions du malware.
  • De nombreux ordinateurs de bureau fonctionnent sous Windows, ce qui pourrait cibler un large public.

Emplacement et analyse détaillée de l’infection Cloudflare factice

Examinons l’emplacement du malware. Cette infection est intégrée dans tous les thèmes installés, avec le code malveillant injecté dans le fichier header.php. Ce fichier fait ensuite référence à un fichier séparé nommé verification.html. Comme tous les thèmes sont affectés, la suppression peut être difficile, et l’infection peut facilement échapper à la détection.

Le fichier header.php contient un script appelant le fichier verification.html, tandis que verification.html contient le HTML complet et le style utilisés pour imiter un écran de vérification Cloudflare légitime.

Analyse du code Partie 1 :

Trois éléments principaux se dégagent de la première partie de ce fichier :

  1. Alerte Cloudflare factice avec une invite de vérification humaine : La page commence par afficher un message « Vérifiez que vous êtes humain » à l’intérieur d’une balise <div>. Ce message est suivi d’un logo Cloudflare avec d’autres éléments similaires, rendant ce malware légitime aux yeux de l’utilisateur final.
  2. Explication de sécurité déguisée et instructions : La fausse page présente ensuite une explication indiquant qu’un trafic web inhabituel a été détecté depuis l’adresse IP de l’utilisateur. « Trafic Web Inhabituel Détecté » est mis en évidence en rouge pour souligner l’urgence, incitant l’utilisateur à agir rapidement.
  3. Instructions de vérification malveillantes : Le dernier morceau est le début des instructions pour ouvrir la boîte de dialogue Exécuter (Win + R) (ciblant les machines Windows) et coller un faux code de vérification pour continuer.

Analyse du code Partie 2 :

Deux éléments principaux se dégagent de la deuxième partie de ce fichier :

  1. Lancement d’une commande powershell avec des privilèges administrateur élevés : Le code à l’intérieur de la balise <textarea> cachée déclenche une commande PowerShell qui démarre un nouveau processus PowerShell. Des privilèges administrateur sont ensuite demandés, permettant au script de contourner les restrictions utilisateur normales.
  2. Téléchargement et exécution d’une commande powershell depuis une source externe : Dans la session PowerShell élevée, la commande télécharge ensuite un script distant hébergé à l’adresse https://workaem[.]eth[.]limo/x.txt.

Il y a d’autres éléments dans ce fichier, mais nous avons couvert les deux parties importantes. Examinons maintenant ce qui est hébergé sur le site malveillant hxxps://workaem[.]eth[.]limo/x.txt.

Analyse du script distant malveillant

  1. Construction d’une URL à partir d’un encodage base64, puis téléchargement du contenu de cette URL : Le script construit l’URL https://workaem[.]eth[.]limo/load.txt en décodant plusieurs chaînes encodées en base64 et en les combinant. Une fois l’URL construite, il télécharge le contenu du fichier.
  2. Décodage de la charge utile initiale puis exécution : Le fichier téléchargé, load.txt, contient une charge utile PowerShell encodée en base64.

L’obfuscation utilisée dans ces deux éléments aide à échapper à la détection par les outils de sécurité. Examinons maintenant le contenu de https://workaem[.]eth[.]limo/load.txt.

Analyse du script distant malveillant Partie 2 :

Le code situé à https://workaem[.]eth[.]limo/load.txt est encodé en base64. Une fois décodé, le contenu ressemble à ceci :

  • Télécharge un fichier ZIP (1.zip) depuis une URL distante vers un répertoire temporaire.
  • Crée ensuite un dossier temporaire unique pour stocker et mettre en scène les fichiers, puis extrait le contenu du fichier zip, qui inclut test.exe.
  • Ensuite, il ajoute des exclusions à Windows Defender pour éviter la détection.
  • Enfin, il permet l’exécution du fichier test.exe.

La charge utile finale, test.exe, n’était pas disponible pour analyse, mais le comportement du script reflète celui de variantes similaires observées livrant des voleurs d’informations et d’autres charges utiles malveillantes.

Conclusion

En résumé, nous avons découvert que ce malware utilise un processus d’infection en plusieurs étapes conçu pour échapper à la détection, se déguisant derrière ce qui semble être une page de vérification Cloudflare légitime. En trompant l’utilisateur pour qu’il exécute une commande powershell avec des privilèges élevés, il peut ensuite livrer le malware nécessaire pour infecter la machine de l’utilisateur. De plus, le malware se trouve à de nombreux endroits, rendant sa traque et sa suppression difficiles. Son apparence légitime trompe de nombreux utilisateurs accédant à un site web avec cette infection, facilitant l’infection de nombreuses machines tout en échappant à la détection.

Il est également important de noter que les visiteurs de sites web ne devraient jamais exécuter des commandes en utilisant Win + R simplement parce qu’un site web leur dit de le faire. Ce raccourci ouvre un outil système puissant qui peut exécuter des commandes directement sur votre ordinateur. Cela peut entraîner des conséquences dévastatrices comme le vol de données d’identification et l’injection de chevaux de Troie d’accès à distance. Les sites web légitimes ne vous demanderont jamais de faire cela. Réfléchissez toujours à deux fois avant de suivre des invites vous demandant d’exécuter des commandes système.

Stratégies de mitigation pour les propriétaires de sites web

  • Maintenez votre logiciel de site web à jour : Surveillez les correctifs logiciels pour WordPress, tous les plugins et tous les thèmes.
  • Obtenez un pare-feu d’application web (WAF) : Les pare-feux peuvent aider à atténuer les mauvais bots, prévenir les attaques par force brute et détecter les attaques dans votre environnement.
  • Imposez des mots de passe uniques pour tous vos comptes : Cela inclut les identifiants pour sFTP, la base de données, cPanel et les utilisateurs administrateurs WordPress.
  • Installez un scanner d’intégrité des fichiers : Notre package de sécurité inclut un scanner côté serveur qui détecte lorsque des fichiers sont modifiés.
  • Supprimez les utilisateurs administrateurs WordPress qui ne sont plus utilisés.
  • Vérifiez périodiquement les utilisateurs administrateurs WordPress dans votre tableau de bord : Assurez-vous de reconnaître tous les utilisateurs administrateurs WordPress dans votre tableau de bord et supprimez ceux qui sont méconnaissables.
  • Assurez-vous que l’authentification à deux facteurs (2FA) est activée sur votre tableau de bord WordPress : Notre pare-feu dispose également d’une fonctionnalité de page protégée pour limiter l’accès au tableau de bord WordPress.

En tant qu’expert en cybersécurité WordPress, je vous recommande vivement de prendre ces mesures pour protéger votre site. Si vous êtes confronté à une infection ou si vous souhaitez renforcer la sécurité de votre site, n’hésitez pas à faire appel à nos services. Nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. De plus, notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons également des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. Contactez-nous dès aujourd’hui pour sécuriser et optimiser votre site WordPress.

Partager l'article :

Nos experts français assurent un support et une prestation de qualité.

Faire appel à nous
Nos autres articles

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article