LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les équipes de sécurité de Wordfence ont observé un pic d'infections de porte dérobées sur les sites WordPress gérés de GoDaddy et évoquent un piratage massif en 24 heures. Des centaines de sites sont infectés en une journée. Les experts ont découvert que toutes chargeaient la même charge utile.
Un peu moins de 300 sites infectés en 24 heures
Les analystes de sécurité de Wordfence ont détecté pour la première fois l'activité malveillante le 11 mars 2022. Ils ont observé 298 sites Web infectés par la porte dérobée en seulement 24 heures. 281 d'entre eux étaient hébergés sur GoDaddy.
D'autres fournisseurs d'hébergement de sites Web parmi lesquels MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet et Host Europe Managed WordPress ont aussi été touchés.
La campagne utilise principalement des modèles de spams pharmaceutiques. Selon les chercheurs, les acteurs malveillants chercheraient à inciter les victimes à acheter des produits contrefaits, mais pas seulement. Les pirates veulent également voler des informations d'identification.
Des attaques difficiles à détecter
Ce type d'attaque est plus difficile à détecter et à arrêter du côté de l'utilisateur. Cela se produit en effet sur le serveur et non sur le navigateur. En tant que tels, les dispositifs de sécurité Internet ne peuvent détecter les activités suspectes.
Le vecteur d'intrusion n'a pas été déterminé. Les analystes suspectent une attaque de la chaîne d'approvisionnement, mais ne confirment pas cette hypothèse. GoDaddy a déjà été informé, mais ne s'est pas encore exprimé sur cette affaire.
Pour rappel, GoDaddy a déjà subi une violation de données en novembre 2021. Cet incident a affecté 1,2 million de clients et plusieurs fournisseurs de services WordPress gérés. Pour les sites Web hébergés sur la plateforme WordPress gérée de GoDaddy, les experts en cybersécurité de Wordfence recommandent d'analyser le fichier wp-config.php pour localiser les injections potentielles de porte dérobée.
- Partager l'article :
