dans ,

WP-VCD, la plus grande opération de piratage de sites WordPress à ce jour

Selon un rapport de Wordfence, la principale menace pour les sites WordPress est une opération criminelle connue sous le nom de WP-VCD, actuellement responsable de la grande majorité des sites WordPress piratés.

Le rapport détaille la manière dont le groupe WP-VCD diffuse ses malwares, la manière dont il poursuit ses objectifs et les fuites qui ont pu révéler la véritable identité de l’un de ses membres. 

Diffusion via des thèmes et des plugins piratés 

Mais s’il y a un thème récurrent dans tout le rapport, c’est que ces infections auraient pu être très facilement évitées.

Le groupe WP-VCD n’utilise pas les vulnérabilités pour pénétrer sur les sites et installer des backdoors.

Il se fie plutôt aux erreurs des webmasters pour s’infecter en téléchargeant et en installant des thèmes et des plugins piratés pour leur sites WordPress.

Le groupe exploite un vaste réseau de sites web proposant des thèmes et des plugins piratés.

Sur ces sites, le groupe propose des téléchargements gratuits de thèmes commerciaux populaires, généralement vendus dans des magasins en ligne ou sur des sites populaires tels que ThemeForest ou CodeCanyon.

Tous ces sites de distribution de thèmes et de plug-ins piratés et piégés bénéficient d’un référencement phénoménal.

Ils se classent bien dans les résultats de recherche, car tous les sites bénéficient d’une impulsion SEO de la part de tous les sites utilisant deur produits piratés.

La recherche du nom d’un thème WordPress populaire et du terme « download » donne généralement des liens vers deux ou trois de ces sites malveillants, directement en tête des résultats de recherche Google.

Cela permet de s’assurer qu’un nouveau flux de victimes arrive sur les sites malveillants, alimentant ainsi le réseau de zombies WP-VCD.

Une infection par WP-VCD est généralement assez grave.

Une fois que les utilisateurs ont installé l’un des thèmes et plugins piégés qu’ils ont téléchargés depuis ces sites de distribution, leurs installations WordPress sont piratées et reprises en quelques secondes.

Pour commencer, un compte de backdoors portant le nom de 100010010 est ajouté à chaque site, ce qui garantit que les opérateurs de WP-VCD ont un moyen d’accéder à l’installation de chaque victime en utilisant un utilisateur légitimement enregistré.

Ensuite, le logiciel malveillant WP-VCD est ajouté à tous les thèmes du site.

Ceci est fait dans le cas où l’utilisateur ne testerait que les thèmes piratés.

Dans le cas où il n’utilise pas le thème avec le fichier infecté, le code WP-VCD sera toujours exécuté à partir des autres thèmes.

Troisièmement, s’il s’agit d’un environnement d’hébergement partagé, le malware se propage également au serveur sous-jacent, infectant d’autres sites hébergés sur le même serveur.

En fait, cela pénalise les clients qui ont investi dans la sécurité de leur site, pour ensuite se faire tromper par un client imprudent.

Comment les escrocs de WP-VCD gagnent de l’argent 

Le but de tout cela est de créer un botnet de sites piratés qui rendent des comptes à un réseau central de serveurs de commande et de contrôle (C&C).

De là, le groupe WP-VCD peut contrôler tous les sites piratés.

Selon Wordfence, le groupe se concentre sur deux actions.

La première consiste à insérer des mots-clés et des backlinks vers leurs sites de distribution.

Ainsi, tous les sites piratés contribuent à améliorer la visibilité des sites de distribution dans les résultats de recherche, alimentant ainsi le botnet de nouvelles infections.

La seconde est la façon dont les arnaqueurs de WP-VCD gagne de l’argent, c’est-à-dire la publicité malveillante.

Selon Mikey Veenstra, analyste chez Wordfence, le groupe WP-VCD place des publicités sur des sites web piratés.

Ces publicités contiennent souvent un code malveillant supplémentaire qui ouvre parfois des fenêtres contextuelles ou redirige les utilisateurs vers d’autres sites malveillants.

Le groupe WP-VCD gagne de l’argent grâce à ces publicités, mais aussi grâce à ces redirections payantes (ils sont payé par utilisateur redirigé), en renvoyant les utilisateurs vers d’autres groupes malveillants. 

Piratage de sites WordPress depuis 2017 

Ce réseau complexe n’a pas été construit en un jour.

Le WP-VCD existe depuis au moins février 2017 et s’est développé au cours de cette année.

Aujourd’hui, Wordfence affirme que WP-VCD est le groupe de piratage le plus populaire dans le monde de WordPress.

« Selon les résultats de l’analyse des malwares sur le réseau de Wordfence, le WP-VCD est installé sur plus de nouveaux sites par semaine que tout autre malwares au cours des derniers mois« , a déclaré M. Veenstra.

« La prévalence des malwares est surprenante puisque la campagne elle-même est active depuis plus de trois ans« , a ajouté l’analyste de Wordfence, notant que la plupart des campagnes disparaissent lorsque les webmestres déploient des contre-mesures.

Mais comme WP-VCD exploite le facteur humain (les utilisateurs qui veulent installer des thèmes commerciaux sans payer), les patchs où les pare-feu ne suffiront pas à arrêter le rythme des installations de ses programmes malveillants. 

Regardons en profondeur 

Mais cette plongée dans les opérations de WP-VCD a également permis de découvrir des indices sur l’identité des auteurs de ces attaques.

Selon Wordfence, si la grande majorité des domaines utilisés par le groupe WP-VCD ont été enregistrés avec des protections de la vie privée, certains domaines plus anciens ne l’ont pas été.

Plus précisément, certains domaines ont été enregistrés par un homme nommé Sharif Mamdouh, a déclaré Wordfence.

En outre, certains domaines du groupe WP-VCD sont également liés à des piratages sur des sites Joomla datant de 2013, selon des plaintes et des détails de piratage que certains administrateurs de sites Joomla ont partagés sur des forums de support.

Il est toutefois impossible de savoir s’il s’agit d’une véritable identité ou d’une identité volée.

La traque des escrocs de WP-VCD nécessitera une enquête plus approfondie et, très probablement, l’intervention de la police.

En attendant, les propriétaires de sites WordPress doivent garder à l’esprit que lorsque quelque chose est gratuit, « vous êtes le produit » – dans ce cas, votre site, qui est utilisé par des cybercriminels.

L’installation de contenu piraté en 2020 est certainement une erreur de sécurité, et ne devrait jamais être envisagée, pour un plugin ou un thème WordPress.

 

Voici un guide simple pour nettoyer un installation wordpress infecté : https://www.malcare.com/blog/how-to-detect-and-remove-wp-vcd-malware-a-step-by-step-guide-and-a-bonus-plugin/

 

Crédit photo

Facebook a effacé 5,4 milliards de faux comptes en 2019

Voilà à quoi ressemble Internet ressemble en 2019