Le mois dernier, un client m’a contacté après avoir remarqué que son site WordPress redirigeait de manière inattendue vers un domaine de spam. La redirection se produisait environ 4 à 5 secondes après l’arrivée d’un utilisateur sur le site. Pour résoudre ce problème, il était crucial d’identifier la source de la redirection malveillante. Après une analyse approfondie, des fichiers suspects ont été découverts dans l’installation de WordPress. Dans un tel cas, il est essentiel de prendre des mesures immédiates pour débloquer votre site WordPress et restaurer son intégrité.
En examinant de plus près le code source du site, j’ai découvert un Google Tag Manager suspect en cours de chargement. Ce n’est pas la première fois que je vois GTM être abusé. Plus tôt cette année, j’ai analysé une attaque de skimming de carte de crédit où des attaquants avaient injecté un skimmer de paiement via un conteneur GTM.
Cet article détaille mon enquête complète sur cette campagne, comment elle a été injectée, comment elle fonctionnait et comment je l’ai supprimée.
Qu’ai-je découvert ?
L’infection ne se trouvait pas dans un fichier de thème ou de plugin, mais était cachée directement dans la base de données WordPress. L’attaquant avait injecté un script Google Tag Manager (GTM) apparemment légitime en utilisant un ID de conteneur qu’il contrôlait.
Le code injecté chargeait un fichier JavaScript distant depuis :
https://www.googletagmanager.com/gtm.js?id=GTM-PL2J2GLH
Ce script redirigeait l’utilisateur vers un domaine spelletjes[.]nl, actuellement connu pour être associé à des campagnes de spam. Après une analyse plus approfondie, j’ai découvert que ce conteneur GTM était utilisé sur plus de 200 sites infectés (selon les données de PublicWWW).
L’attaquant avait ajouté ce code dans la table wp_options (sous le nom d’option ihaf_insert_body) et la table wp_posts. Cela permettait à l’attaquant d’exécuter un comportement malveillant sans avoir besoin d’accéder au système de fichiers, rendant l’infection plus difficile à détecter avec des scanners basés sur les fichiers.
Vecteur d’attaque et IoCs
Le script injecté utilise un ID de conteneur GTM-PL2J2GLH et charge le fichier distant suivant :
hxxps://www[.]googletagmanager[.]com/gtm.js?id=GTM-PL2J2GLH
Une fois chargé, ce script exécute une redirection côté client en utilisant JavaScript. Cette charge utile est entièrement contrôlée par l’attaquant via son compte GTM. Étant hébergée sur googletagmanager.com, un service largement utilisé, cette redirection évite de nombreux filtres de sécurité courants.
Analyse du Malware
JavaScript injecté dans wp_options
L’attaquant a placé le code suivant dans la valeur option_value de la table wp_options, en utilisant le nom d’option ihaf_insert_body (ihaf – “insert headers and footers”, plugin maintenant appelé wpcode). Cela a probablement été inséré via le panneau wp-admin en raison d’un utilisateur admin compromis.
Le but de ce chargeur est de récupérer un JavaScript externe depuis le CDN de Google, qui exécute ensuite une redirection côté client.
Script de redirection malveillant dans le conteneur GTM
La charge utile finale, hébergée à distance et contrôlée par l’attaquant, contenait le script de redirection malveillant.
<script type="text/gtmscript">window.location.href="https://www.spelletjes.nl/";</script>
Impact du Malware
Cette infection force les visiteurs du site à être redirigés vers spelletjes[.]nl, un site qui sert des publicités et des jeux. La redirection nuit à la confiance des utilisateurs et au SEO, endommage les conversions et peut entraîner le signalement de votre site par des scanners de sécurité ou des avertissements de navigateur. De plus, c’est très trompeur car la charge utile se cache dans un script GTM apparemment légitime. Il est crucial de rester vigilant face à ce type de menace, car ces redirections peuvent masquer des intentions malveillantes bien plus graves. Pour protéger votre site, il est recommandé d’utiliser des outils de sécurité pour détecter une porte dérobée WordPress et éliminer toute menace potentielle. Ignorer ce problème pourrait non seulement compromettre la sécurité de votre site, mais aussi nuire à votre réputation en ligne.
Étapes de Remédiation
Pour remédier au malware basé sur Google Tag Manager :
- Supprimez tous les tags GTM suspects. Connectez-vous à GTM, identifiez et supprimez tous les tags suspects.
- Effectuez une analyse complète du site pour détecter tout autre malware ou backdoor.
- Supprimez tous les scripts malveillants ou fichiers backdoor.
- Assurez-vous que WordPress et toutes les extensions sont à jour avec les correctifs de sécurité.
- Surveillez régulièrement le trafic du site et GTM pour toute activité inhabituelle.
- Protégez wp-admin avec une authentification à deux facteurs.
Conclusion
Cette attaque illustre parfaitement comment des services légitimes comme Google Tag Manager peuvent être détournés par des cybercriminels. En plaçant une balise de script de confiance dans la base de données, probablement en raison d’une compromission d’utilisateur wp-admin, et en la cachant à la vue de tous, les attaquants peuvent contrôler les sites à distance et rediriger le trafic vers des destinations suspectes sans modifier aucun fichier de thème.
Si vous constatez des redirections ou suspectez que votre site a été compromis, je suis disponible 24/7 pour vous aider. En tant qu’expert en réparation d’urgence WordPress, je propose une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. De plus, mon service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, j’offre également des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. N’hésitez pas à me contacter pour sécuriser et optimiser votre site WordPress. De plus, une intervention rapide est essentielle pour éviter d’éventuels dommages supplémentaires à votre site. Pour toute urgence, il est impératif de résoudre le problème de maintenance WordPress afin de rétablir le bon fonctionnement de votre plateforme. En garantissant un suivi régulier, vous pourrez réduire les risques de futures intrusions et améliorer la performance globale de votre site.
