Un récent rapport Wordfence explique en détail comment le gang de cybercriminels agissant derrière WP-VCD fonctionne ainsi que ses programmes malveillants ciblant WordPress, leurs objectifs et victimes. Il s’agit de la plus grande menace actuelle ciblant WordPress avec au compteurs des dizaines de milliers de sites piratés.
Le rapport explique en détail comment le groupe WP-VCD diffuse son malware, comment il fonctionne, quels sont ses objectifs ultimes et les fuites OpSec qui ont peut-être révélé la véritable identité de l’un de ses membres. L’affaire a été relayée par ZDNet.
Diffusion via des thèmes et des plugins piratés “nulled”
Le rapport met en lumière (PDF) un point essentiel de l’affaire : tout cela aurait pu être évité très facilement ! Pourquoi donc direz-vous ? C’est très simple… le malware en question et toute sa campagne d’infection est basé sur un concept unique : la diffusion de thèmes et plugins “nulled”, c’est à dire des thèmes / plugins payants piratés proposés gratuitement sur des sites illégaux. En résumé, le groupe de pirates informatique WP-VCD n’utilise aucune vulnérabilité pour pénétrer dans des sites et y installer des backdoors. Au lieu de cela, ils comptent sur les webmasters indélicats pour s’auto-infecter en téléchargeant et en installant des thèmes et des plugins piratés (nulled) pour leurs sites WordPress. Malin non ?!
Le gang de cybercriminels exploite un vaste réseau de sites Web proposant des thèmes et des plugins WordPress piratés (normalement payants). Sur ces sites, les pirates proposent des téléchargements gratuits de thèmes commerciaux populaires, généralement vendus dans des boutiques privés ou sur des sites populaires tels que ThemeForest ou CodeCanyon. Quelques sites appartenant au réseau malveillant :
- download-freethemes.download
- downloadfreethemes.co
- downloadfreethemes.space
- downloadnulled.pw
- downloadnulled.top
- freenulled.top
- nulledzip.download
- themesfreedownload.net
- themesfreedownload.top
- vestathemes.com
Tous ces sites de distribution de thèmes et de plugins piratés bénéficient d’un très bon référencement naturel et ressortent dans les premiers résultats dans les moteurs de recherche en tapant le nom de nombreux thèmes premiums WordPress. Ce réseau de sites est artificiellement boosté en terme de SEO par une technique classique et agressive de blackhat SEO : tous les sites piratés infectés par le malware contribuent à leur référencement par le biais de nombreux liens retours (backlinks) sauvages générés par le logiciel malveillant WP-VCD sur des mots-clés spécifiques générant beaucoup de trafic ciblé de qualité.
La recherche du nom de tout thème WordPress populaire accompagné du terme “download” donne généralement lieu à la présence de deux ou trois de ces sites malveillants, directement en haut des résultats de recherche Google. Cela garantit donc un flux quotidien de nouvelles victimes, alimentant de nouvelles victimes le botnet WP-VCD. Une infection par WP-VCD n’est pas anodine pour un site Web : une fois que le webmaster a installé l’un des thèmes ou plugins nulled infecté, l’installation WordPress est piratée en quelques secondes et les cybercriminels ont alors la main sur ce dernier.
Première chose, une porte dérobée est ajoutée à chaque site, garantissant ainsi que les opérateurs WP-VCD disposent d’un moyen d’accéder à distance à tout moment à l’installation de chaque victime à l’aide d’un utilisateur légitimement enregistré. Deuxième chose, le malware WP-VCD est ajouté à tous les thèmes du site. Ceci est fait dans le cas où l’utilisateur se contente de tester des thèmes piratés sans les conserver à terme : dans ce cas, ça sera trop tard, le code malveillant sera injecté dans chacun des autres thèmes présents sur le serveur, même légitimes. Pour finir, le malware est capable de se propager à tout hébergement sous-jacent dans le cas d’un hébergement mutualisé mal configuré et cloisonné. Tous les autres sites présents peuvent alors être infectés à leur tour !
Comment les cybercriminels derrière WP-VCD génèrent de l’argent
Le but de toute cette manœuvre est de créer un botnet de sites piratés au sein d’un seul et unique réseau commandé à partir d’un serveur central de commande et de contrôle (C&C). À partir de là, le groupe WP-VCD peut contrôler ce qui arrive à tous les sites piratés en quelques clics. Selon Wordfence, le groupe s’est généralement concentré sur deux possibilités prioritaires :
- insertion de mots-clés et de backlink pour leur SEO (point crucial pour continuer à agrandir le réseau de sites de téléchargement et ainsi faire d’autres victimes chez les webmasters)
- injection et diffusion massive de publicité malveillante sur les sites des victimes (popups, redirections malveillantes, etc) afin de générer des gains
En résumé, le gang exploitant WP-VCD gagne de l’argent via les publicités, mais également grâce à des redirections pay-per-user, canalisant ainsi les victimes potentielles vers les opérations d’un autre groupe de cybercriminels diffusant des programmes malveillants.
Piratage de sites WordPress, une affaire qui roule depuis 2017
Ce modus operandi complexe ne s’est pas construit en un jour. WP-VCD existe depuis février 2017 et s’est largement répandu depuis. A ce jour, Wordfence affirme que WP-VCD est le groupe de piratage informatique relatif à WordPress le plus populaire du monde :
“Selon les résultats de l’analyse des programmes malveillants sur le réseau Wordfence, WP-VCD est installé sur plus de nouveaux sites par semaine que tout autre programme malveillant au cours des derniers mois“, a déclaré Veenstra. “La prévalence des logiciels malveillants est surprenante puisque la campagne elle-même est active depuis plus de deux ans“, a ajouté l’analyste Wordfence, soulignant que la plupart des campagnes disparaissent lorsque les webmasters déploient des contre-mesures.
Cette enquête dans les profondeurs des opérations de WP-VCD a également permis aux chercheurs en sécurité de découvrir des indices sur le commanditaire du réseau de piratage. Ainsi, Wordfence indique que si la grande majorité des domaines utilisés par le groupe WP-VCD ont été enregistrés avec des protections de la confidentialité du WHOIS, certains plus anciens ont été ignorés. Plus précisément, certains domaines ont été enregistrés par un homme nommé Sharif Mamdouh. En outre, certains domaines de WP-VCD étaient également liés à des piratages sur des sites Joomla remontant à 2013 et exposés sur divers forums de webmasters.
Cependant, il n’est pas clair s’il s’agit d’un nom légitime ou d’une identité volée. La traque du gang WP-VCD nécessitera des enquêtes supplémentaires et, très probablement, une implication de la police. En attendant, les propriétaires de sites WordPress doivent garder à l’esprit que, lorsque quelque chose est gratuit, “vous êtes le produit”. Dans le cas présent, il s’agit de votre site web, offert en pâture à un énorme réseau cybercriminel !
L’installation de contenu piraté (thèmes ou plugins) en 2019 est définitivement une catastrophe pour la sécurité, et cela ne devrait jamais être effectué.
Les commentaires sont fermés.