Lors de mon enquête sur une infection par du spam SEO (contenu spam conçu pour manipuler les résultats des moteurs de recherche), j’ai découvert un plugin astucieusement conçu qui se nommait d’après le domaine infecté, ce qui lui permettait d’échapper à la détection. Bien que cette tactique soit simple, elle se fondait facilement parmi d’autres plugins légitimes, rendant sa détection plus difficile lors du processus de dépannage. Il était crucial, à ce stade, de comprendre le spam pharma dans WordPress, car ce type d’attaque a un impact particulièrement nuisible sur la réputation des sites Web. En analysant les comportements suspects des utilisateurs et les modifications inattendues dans le code, il est possible d’identifier d’autres plugins déguisés susceptibles de nuire à l’intégrité du site. La vigilance face à ces menaces est essentielle pour protéger les données et assurer la fiabilité des résultats de recherche.
Le plugin était conçu pour paraître inoffensif, avec un nom de dossier imitant le domaine du site. Cette personnalisation unique rendait le plugin facile à négliger, car il semblait être un composant légitime créé spécifiquement pour le site. Une fois actif, le plugin injectait du contenu spam dans le site, ciblant souvent les moteurs de recherche pour manipuler les classements. Le plugin ne s’activait que sous certaines conditions, comme lorsqu’un robot d’indexation de moteur de recherche était détecté, ce qui cachait encore plus sa présence aux utilisateurs réguliers.
Ce malware est conçu pour rester inaperçu. En changeant le nom du plugin pour qu’il corresponde au site et en ajustant son comportement, les attaquants qui ont créé ce malware le rendent facile à passer outre les détections basiques et à rester actif sur un site compromis beaucoup plus longtemps. Cela a permis aux attaquants de diffuser du spam SEO pour Cialis.
Maintenant que je connais les objectifs de ce malware et comment il échappe à la détection, examinons le code lui-même.
Localisation et Analyse du Code
Tout d’abord, examinons l’emplacement du malware. J’utiliserai un domaine d’exemple pour protéger la confidentialité de mon client. Voir l’emplacement ci-dessous :
wp-content/plugins/exempledomaine-com/exempledomaine-com.php
Le nom du plugin utilise le domaine de second niveau de la victime, exemple, puis ajoute un tiret suivi du domaine de premier niveau, .com. Le seul fichier dans ce répertoire est ensuite placé avec les mêmes conventions de nommage que le nom du dossier lui-même.
Passons maintenant au code lui-même. Le fichier est très volumineux et obfusqué avec de nombreuses variables déclarées, donc seules certaines parties du code seront affichées.
Code Obfusqué Partie 1 :
Note : Ceci est seulement un aperçu partiel du code.
La première section de code commence par un bloc de commentaires qui imite un en-tête de plugin WordPress légitime. Chaque fois que ce malware est injecté, les détails de l’en-tête sont personnalisés pour refléter le domaine spécifique qu’il a infecté, donnant l’apparence d’un plugin authentique. Pour protéger la confidentialité de mon client, le nom de domaine réel a été remplacé par un domaine d’exemple.
Code Obfusqué Partie 2 :
Note : Ceci est seulement un aperçu partiel du code.
Dans cette deuxième section, il y a des milliers d’assignations de variables qui sont divisées en de nombreuses petites parties. C’est une technique d’obfuscation typique et quelque chose que je vois souvent dans les échantillons de malware. Plus tard dans le fichier, ces variables seront combinées, décodées et exécutées.
Au lieu d’écrire directement des commandes, l’attaquant disperse des lettres, des chiffres et des symboles à travers des centaines de variables, puis les assemble lentement en un code réel en utilisant une concaténation complexe. Cela peut rendre le code difficile à comprendre ou à détecter avec des outils automatisés. C’est une tactique très courante dans les infections WordPress, surtout dans les plugins prétendant être légitimes.
Malware Décodé et Sa Fonction :
Le contenu ci-dessous sera décomposé en quatre parties principales :
Partie 1 :
Ce premier morceau de code démarre le processus malveillant en configurant d’abord une fonction qui télécharge des fichiers depuis un hôte externe, puis en récupérant du contenu distant en prétendant être un navigateur. Note : Ceci est seulement un aperçu partiel du code.
Partie 2 :
Cette partie du code récupère le contenu de la page actuelle et tente d’imiter le comportement normal d’un serveur web. Elle vérifie également les commandes cachées spéciales envoyées au site. Note : Ceci est seulement un aperçu partiel du code.
Partie 3 :
Cette partie du code ouvre un fichier caché (metainfo.jpg) et lit les instructions encodées liées à la page actuelle. Elle pointe ensuite vers un nom de domaine encodé en base64 qui est utilisé pour le contrôle à distance. Le domaine se décode en mag1cw0rld[.]com.
Partie 4 :
La dernière partie du code malveillant détecte si le visiteur est un moteur de recherche, comme Google. Si c’est le cas, le code leur envoie du contenu personnalisé depuis un serveur distant au domaine malveillant qui a été encodé en base64 plus tôt, mag1cw0rld[.]com. Il récupère des instructions cachées pour afficher du spam spécifiquement aux robots, tandis que les utilisateurs réguliers voient le site normalement. Ce comportement malveillant n’est déclenché que pour les moteurs de recherche ou les robots, ce qui l’aide à échapper à la détection et à passer inaperçu plus longtemps. Ce type de technique est couramment utilisé dans le cadre de malware de redirection sur WordPress, permettant aux attaquants d’augmenter le trafic vers des sites malveillants. En manipulant la visibilité du contenu, ils maximisent leur impact tout en évitant d’être repérés par les administrateurs des sites web ciblés. Cette méthode sophistiquée rend la détection et la suppression du malware de redirection particulièrement difficiles, compliquant ainsi la sécurité de l’écosystème WordPress.
Résumé
Ce code malveillant utilise de nombreuses tactiques pour échapper à la détection en apparaissant légitime et en n’affichant le spam qu’aux moteurs de recherche, comme Google ou Bing. Premièrement, le spam se fait passer pour un plugin légitime en utilisant le nom de domaine de la victime comme nom de plugin. Deuxièmement, le code malveillant s’obfusque et disperse des lettres, des chiffres et des symboles à travers des centaines de variables. Ensuite, il les assemble lentement en un code réel en utilisant une concaténation complexe. Cela peut rendre le code difficile à comprendre ou à détecter avec des outils automatisés. Enfin, le spam n’est affiché que sous certaines conditions, ce qui nécessite que le visiteur soit un robot ou un moteur de recherche. Comme ce code ne s’affiche pas aux utilisateurs réguliers et se cache comme un plugin légitime, ce spam peut passer inaperçu et être difficile à détecter avec des outils traditionnels.
Stratégies de Mitigation :
Il existe un certain nombre de mesures préventives qui devraient être prises sur tous les sites web.
- Gardez vos plugins, thèmes et logiciels de site web à jour. Mettez toujours à jour vers la dernière version pour aider à atténuer les risques de vulnérabilités logicielles connues. Les visiteurs du site web doivent s’assurer de garder leur navigateur et leur système d’exploitation à jour également.
- Analysez régulièrement à la recherche de portes dérobées et de malwares. Cela signifie scanner au niveau du serveur et du client pour identifier toute injection malveillante, spam SEO ou portes dérobées qui pourraient se cacher sur votre site. Nos plans de sécurité de site web incluent un scanner côté serveur qui s’exécute plusieurs fois par jour pour vérifier les fichiers modifiés et les malwares injectés.
- Imposer des mots de passe uniques pour tous vos comptes. Cela inclut les identifiants pour sFTP, base de données, cPanel et utilisateurs administrateurs.
- Surveillez vos journaux pour des indicateurs de compromission. Vérifiez régulièrement les comportements inhabituels ou suspects et envisagez d’utiliser un système de surveillance de l’intégrité des fichiers sur votre site web.
- Obtenez un pare-feu d’application web (WAF). Les pare-feux peuvent aider à atténuer les mauvais robots, à prévenir les attaques par force brute et à détecter les attaques dans votre environnement.
Si vous pensez que votre site a été compromis, nous pouvons vous aider ! En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons également des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. N’hésitez pas à nous contacter pour sécuriser et optimiser votre site WordPress. Pour garantir que votre site reste performant et exempt de publicités indésirables sur WordPress, une surveillance continue est essentielle. En outre, nos experts peuvent vous aider à mettre en place des solutions pour prévenir toute future attaque ou publication non désirée. Avec notre assistance, vous aurez l’assurance que votre site est non seulement sécurisé mais également optimisé pour attirer un public ciblé. De plus, il est crucial de prendre des mesures proactives pour prévenir toute nouvelle compromission, notamment en évitant l’utilisation de muplugins à risque pour votre site. Ces extensions peuvent présenter des vulnérabilités exploitables par les malfaiteurs, compromettant ainsi la sécurité de votre plateforme. En investissant dans une analyse approfondie de votre environnement WordPress, vous pourrez garantir la fiabilité et l’intégrité de votre site à long terme. Pour renforcer davantage la sécurité de votre site, il est essentiel d’adopter des méthodes de détection de portes dérobées efficaces. Cela permet non seulement d’identifier les menaces potentielles, mais aussi de mettre en place des stratégies préventives efficaces. En combinant des outils de sécurité avancés et une surveillance régulière, vous minimiserez les risques de compromission future.
