Des experts en cybersécurité ont tiré la sonnette d’alarme : une vaste campagne exploitant des sites WordPress compromis a été mise en lumière, formant une armée colossale dédiée aux attaques par remplissage d’identifiants.
La société de recherche en sécurité, Sucuri, a détecté cette campagne et pense comprendre son objectif : cibler des sites créés avec ce CMS pour y injecter un script dans les modèles HTML. Ce script contraint l’ordinateur du visiteur à se connecter en arrière-plan à un autre site WordPress et à tenter de s’authentifier avec diverses combinaisons d’identifiants.
Le processus est insidieux : une fois que le système de l’utilisateur parvient à déverrouiller les codes d’accès, il transmet sans le savoir ces informations aux attaquants, avant de recevoir de nouvelles directives pour compromettre d’autres sites.
Selon les données extraites du moteur de recherche de code source HTML, PublicHTML, plus de 1 700 sites hébergent actuellement ce script, transformant de fait leurs visiteurs en une force de frappe massive pour des attaques par brute force distribuée. Parmi les victimes recensées, on trouve le site de l’Association des Banques Privées d’Équateur.
Sucuri suit cet acteur de la menace depuis un certain temps. Auparavant, le groupe utilisait cette technique dans un but différent : installer le malware AngelDrainer, un code malveillant conçu pour « siphonner » les fonds des portefeuilles de cryptomonnaies des victimes. Pour cela, les utilisateurs doivent connecter leur portefeuille à un service de cryptomonnaie. Le groupe a même créé de faux sites Web3 pour inciter les gens à connecter leurs portefeuilles.
De nouvelles dispositions pour gagner de l’argent
Les raisons du changement de tactique du groupe, se tournant vers le credential stuffing, restent incertaines. Une hypothèse est qu’ils cherchent à élargir leur base de sites compromis, qui pourraient ensuite servir à lancer des attaques plus destructrices, telles que des campagnes de vidage de portefeuilles.
Sucuri souligne que le groupe a probablement réalisé que leurs activités liées aux cryptomonnaies n’étaient pas encore très rentables à leur échelle et attiraient rapidement l’attention, conduisant au blocage rapide de leurs domaines. Opter pour une méthode plus discrète, tout en élargissant leur répertoire de sites compromis, semble donc être une stratégie logique pour préparer de futures vagues d’infections potentiellement lucratives.