Des escrocs contrôlant un réseau de plus de 20.000 installations WordPress infectées utilisent ces sites pour lancer des attaques sur d’autres sites WordPress, a appris ZDNet auprès de la société de sécurité Defiant.

Image : Defiant

La société, qui publie le plugin Wordfence, un système de pare-feu pour les sites WordPress, affirme avoir détecté plus de cinq millions de tentatives de connexion au cours du dernier mois à partir de sites infectés vers d’autres portails WordPress propres.

Ces attaques sont ce que les experts en sécurité appellent des « attaques par dictionnaire ». Il s’agit de tentatives de connexion répétées au cours desquelles les pirates testent une série de combinaisons de noms d’utilisateur et de mots de passe, dans l’espoir d’obtenir un résultat positif et d’accéder à un compte.

Mikey Veenstra, chercheur en sécurité, affirme que l’entreprise a réussi à comprendre le fonctionnement de ce réseau de bots. Dans un rapport partagé avec ZDNet, le chercheur mentionne que les enquêteurs de Defiant ont découvert qu’au sommet de ce botnet se trouve une hydre de quatre serveurs de commandement et de contrôle qui indiquent aux sites déjà infectés sur quels autres sites porter leurs attaques.

Ces serveurs envoient des instructions d’attaque par l’intermédiaire d’un réseau de plus de 14.000 serveurs proxy loués auprès de best-proxies[.]ru, qui relaient ensuite ces informations à des scripts malveillants placés sur des sites WordPress déjà infectés.

Ces scripts lisent une liste de cibles qu’ils reçoivent du serveur CC, assemblent une liste de mots de passe basée sur une liste prédéfinie de modèles de mots de passe, puis essaient d’utiliser le nouveau mot de passe généré pour se connecter au compte administrateur d’un autre site.

« Si le script de force brute essayait de se connecter à example.com en tant qu’utilisateur alice, il générera des mots de passe comme par exemple, alice1, alice2018, et ainsi de suite » explique le chercheur dans son rapport. « Bien que cette tactique ait peu de chances de réussir sur un site donné, elle peut être très efficace lorsqu’elle est utilisée à grande échelle sur un grand nombre de cibles. »

Dans des circonstances normales, parce que les attaquants utilisaient un réseau de proxies pour cacher l’emplacement de leurs serveurs de commande et de contrôle, les chercheurs ne seraient pas en mesure de suivre toute l’activité de ce botnet.

Heureusement, Defiant dit que les personnes derrière ce botnet ont fait « quelques erreurs dans la mise en œuvre des scripts de force brute » qui ont permis aux chercheurs d’exposer toute l’infrastructure backend du botnet.

De plus, les erreurs ne s’arrêtent pas aux scripts de force brute. Selon Defiant, les opérateurs des botnets ont également commis des erreurs dans la mise en œuvre des systèmes d’authentification au panneau d’administration de leur botnet. Des chercheurs de Defiant affirment qu’ils ont pu contourner le système de connexion au panneau de contrôle du botnet et jeter un coup d’œil sous le capot.

Image : Defiant

L’entreprise dit qu’elle a déjà partagé l’information qu’elle avait recueillie sur le réseau de zombies avec les autorités. Malheureusement, les quatre serveurs CC du botnet n’ont pas pu être démantelés, car ils sont hébergés sur l’infrastructure d’HostSailor, une société qui, il y a quelque temps, était considérée comme un fournisseur d’hébergement à toute épreuve, et qui n’honorait pas les demandes de retrait. Cela signifie que le botnet est toujours en vie et qu’il continue d’attaquer d’autres sites WordPress.

Que faire ?

Parce que les tentatives de connexion automatisées du botnet ne sont pas dirigées vers le panneau de connexion WordPress, mais plutôt vers le mécanisme d’authentification XML-RPC de WordPress, changer l’URL du panneau d’administration d’un site ne sera d’aucune utilité.

Defiant recommande plutôt aux propriétaires de sites WordPress d’utiliser un plugin de sécurité WordPress qui peut bloquer les attaques par force brute ou par dictionnaire menées contre le service XML-RPC.

Heureusement, des attaques sur les systèmes d’authentification XML-RPC sont en cours depuis quelques années maintenant, et tout pare-feu WordPress décent devrait pouvoir bloquer ces attaques.

Source Article from https://www.zdnet.fr/actualites/cannibalisme-un-botnet-de-plus-de-20000-sites-wordpress-attaque-d-autres-sites-wordpress-39877671.htm#xtor=RSS-1
Source:ZDNet News