Un aperçu de WP-VCD, la plus grande opération de piratage WordPress actuelle
Selon un rapport Wordfence partagé avec ZDNet, la principale menace visant les sites WordPress est une opération criminelle connue sous le nom de WP-VCD, actuellement responsable de la grande majorité des sites WordPress piratés.
Le rapport détaille comment le groupe WP-VCD propage son malware, comment il fonctionne ses objectifs et les fuites qui ont peut-être révélé la véritable identité de l’un de ses membres.
Diffusion via des thèmes et des plug-ins piratés
Mais s’il y a un thème récurrent dans tout le rapport, c’est que ces infections auraient pu être très facilement évitées. Le groupe WP-VCD n’utilise pas de vulnérabilités pour pénétrer dans des sites et installer des backdoors.
Au lieu de cela, ils comptent sur les erreurs des webmasters pour s’infecter eux même en téléchargeant et en installant des thèmes et des plug-ins piratés pour leurs sites WordPress.
Le gang exploite un vaste réseau de sites Web (voir la liste ci-dessous) proposant des thèmes et des plug-ins piratés. Sur ces sites, le groupe propose des téléchargements gratuits de thèmes commerciaux populaires, généralement vendus dans des magasins en ligne ou sur des sites populaires tels que ThemeForest ou CodeCanyon.
www.download-freethemes.download
www.downloadfreethemes.co
www.downloadfreethemes.space
www.downloadnulled.pw
www.downloadnulled.top
www.freenulled.top
www.nulledzip.download
www.themesfreedownload.net
www.themesfreedownload.top
www.vestathemes.com
Tous ces sites de distribution de thèmes et de plug-ins piratés et piégés bénéficient d’un référencement phénoménal. Ils se classent bien dans les résultats de recherche, car tous les sites bénéficient d’un boost de référencement provenant de l’ensemble des sites utilisant les sites piratés.
La recherche du nom d’un thème WordPress populaire et du terme “télécharger” donne généralement des liens portant vers deux ou trois de ces sites malveillants, directement en haut des résultats de recherche Google.
Cela garantit l’arrivée d’un nouveau flux de victimes sur les sites malveillants, alimentant de nouvelles victimes dans le botnet WP-VCD.
Une infection par WP-VCD est généralement assez grave
Une fois que les utilisateurs ont installé l’un des thèmes et plug-ins piégés qu’ils ont téléchargés à partir de ces sites de distribution, leurs installations WordPress sont piratées et reprises en quelques secondes.
Pour commencer, un compte de porte dérobée portant le nom 100010010 est ajouté à chaque site, garantissant ainsi que les opérateurs WP-VCD disposent d’un moyen d’accéder à l’installation de chaque victime à l’aide d’un utilisateur légitimement enregistré.
Deuxièmement, le malware WP-VCD est ajouté à tous les thèmes du site. Ceci est fait dans le cas où l’utilisateur ne ferait que tester les thèmes piratés. Au cas où ils n’utiliseraient finalement pas le thème avec le fichier infecté, le code WP-VCD sera toujours exécuté à partir des autres thèmes.
Troisièmement, s’il s’agit d’un environnement d’hébergement partagé, le logiciel malveillant se propage également sur le serveur sous-jacent, infectant d’autres sites hébergés sur le même système. De fait, cela pénalise ainsi les utilisateurs qui ont investi dans la sécurité de leur site, pour se laisser finalement avoir par la faute d’un autre administrateur.
Comment les escrocs WP-VCD gagnent de l’argent
Le but de tout cela est de créer un botnet de sites piratés qui rendent compte à un réseau central de serveurs de commande et de contrôle (C & C). À partir de là, le groupe WP-VCD peut contrôler ce qui arrive à tous les sites piratés.
Selon Wordfence, le groupe se concentre sur deux actions. La première consiste à insérer des mots-clés et des backlinks vers leurs sites de distribution. Ainsi, tous les sites piratés contribuent à améliorer la visibilité des sites de distribution dans les résultats de recherche, alimentant ainsi le botnet en nouvelles infections.
La deuxième est la façon dont le gang WP-VCD gagne son argent, à savoir la publicité malveillante. Selon Mikey Veenstra, analyste chez Wordfence, le groupe WP-VCD insère des publicités sur des sites Web piratés. Ces annonces contiennent souvent du code malveillant supplémentaire qui ouvre parfois des popups ou redirige les utilisateurs vers d’autres sites malveillants.
Le gang WP-VCD gagne de l’argent via ces publicités, mais également grâce à ces redirections pay-per-user, en renvoyant des utilisateurs vers d’autres groupes malveillants.
Piratage de sites WordPress depuis 2017
Ce modus operandi complexe ne s’est pas construit en un jour. WP-VCD existe depuis au moins février 2017 et s’est étendu au cours de cette année [1, 2].
Aujourd’hui, Wordfence affirme que WP-VCD est le groupe de piratage informatique le plus populaire du monde WordPress.
“Selon les résultats de l’analyse des programmes malveillants sur le réseau Wordfence, WP-VCD est installé sur plus de nouveaux sites par semaine que tout autre programme malveillant au cours des derniers mois”, déclare Veenstra.
“La prévalence des logiciels malveillants est surprenante puisque la campagne elle-même est active depuis plus de deux ans”, ajoute l’analyste de Wordfence, soulignant que la plupart des campagnes disparaissent lorsque les webmasters déploient des contre-mesures.
Mais comme WP-VCD exploite le facteur humain (les utilisateurs qui souhaitent installer des thèmes commerciaux sans payer), les correctifs où les pare-feu ne suffiront pas à stopper le rythme des installations de ses programmes malveillants.
En profondeur
Mais cette plongée dans les opérations de WP-VCD a également permis de découvrir des indices sur l’identité des auteurs de ces attaques. Wordfence indique que si la grande majorité des domaines utilisés par le groupe WP-VCD ont été enregistrés avec des protections de la confidentialité, certains plus anciens n’en ont pas bénéficié.
Plus précisément, certains domaines ont été enregistrés par un homme nommé Sharif Mamdouh, a déclaré Wordfence.
En outre, certains domaines de WP-VCD sont également liés à des piratages sur des sites Joomla remontant à 2013, selon des plaintes et des détails de piratage que certains administrateurs du site Joomla ont partagés sur des forums de support.
Cependant, impossible de savoir s’il s’agit d’une réelle identité ou d’une identité volée. La traque du gang WP-VCD nécessitera des enquêtes supplémentaires et, très probablement, l’implication de la police. En attendant, les propriétaires de sites WordPress doivent garder à l’esprit que, lorsque quelque chose est gratuit, “vous êtes le produit” – dans ce cas, votre site, qui est utilisé par des cybercriminels. L’installation de contenu piraté en 2019 est définitivement une erreur de sécurité, et ne devrait jamais être envisagée, pour une application de bureau ou un thème WordPress.
Article : An inside look at WP-VCD, today’s largest WordPress hacking operation traduit et adapté par ZDNet.fr
