Logiciels malveillants sur l’hébergement GoDaddy

Aujourd’hui, le 15 mars 2022, l’équipe Wordfence Incident Response a alerté notre équipe Threat Intelligence d’une augmentation des sites Web infectés hébergés sur le service WordPress géré de GoDaddy, qui comprend MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet et les sites WordPress gérés par Host Europe. . Ces sites concernés ont une porte dérobée presque identique ajoutée au fichier wp-config.php. Sur les 298 sites nouvellement infectés par cette porte dérobée depuis 5 jours le 11 mars, au moins 281 sont hébergés chez GoDaddy.

Nous avons commencé à constater une augmentation globale des sites infectés à partir du 11 mars :

La porte dérobée en question est utilisée depuis au moins 2015. Elle génère des résultats de recherche Google spammés et comprend des ressources personnalisées pour le site infecté. La porte dérobée principale est ajoutée au tout début de wp-config.php et ressemble à ceci :

La version décodée de la porte dérobée ressemble à ceci :

Et continué…

Mécanisme de fonctionnement

Si une demande avec un cookie défini sur une certaine valeur codée en base64 est envoyée au site, la porte dérobée téléchargera un modèle de lien de spam à partir d’un domaine de commande et de contrôle (C2) – dans ce cas t-fish-ka[.]ru– et l’enregistrera dans un fichier codé avec un nom défini sur le hachage MD5 du domaine du site infecté. Par exemple, le fichier encodé pour ‘examplesite.com’ serait nommé 8c14bd67a49c34807b57202eb549e461, qui est un hachage de ce domaine.

Bien que le domaine C2 ait un TLD russe, rien n’indique que cette campagne d’attaque soit politiquement motivée ou liée à l’invasion russe de l’Ukraine. Le domaine propose une page Web vierge, mais en 2019, il servait ce qui semble être du contenu pour adultes, éventuellement avec un angle de marketing d’affiliation.

Le fichier encodé qui est téléchargé contient un modèle basé sur le code source du site infecté, mais avec des liens vers des spams pharmaceutiques ajoutés. Ce modèle de lien de spam est configuré pour s’afficher chaque fois que le site est consulté.

Un extrait du modèle de lien spam encodé ressemble à ceci :

Nous n’avons pas encore déterminé le vecteur d’intrusion pour cette campagne, mais l’année dernière, GoDaddy a révélé qu’un attaquant inconnu avait obtenu un accès non autorisé au système utilisé pour approvisionner les sites WordPress gérés de l’entreprise, affectant jusqu’à 1,2 million de leurs clients WordPress .

Si votre site est hébergé sur la plate-forme WordPress gérée de GoDaddy (qui comprend les sites WordPress gérés MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet et Host Europe), nous vous recommandons fortement de vérifier manuellement le fichier wp-config.php de votre site, ou exécutez une analyse avec une solution de détection de logiciels malveillants telle que le scanner gratuit Wordfence pour vous assurer que votre site n’est pas infecté.

Si votre site est infecté, vous devrez le faire nettoyer et vous devrez peut-être également supprimer les résultats des moteurs de recherche de spam. Nous proposons des ressources pédagogiques sur la façon de nettoyer votre propre site Web WordPress piraté . Si vous souhaitez que notre équipe de réponse aux incidents nettoie votre site pour vous, vous pouvez vous inscrire à Wordfence Care et nous nous en occuperons pour vous.

Si vous connaissez quelqu’un qui utilise l’hébergement WordPress géré de GoDaddy, nous vous invitons à lui transmettre cet avis, car les résultats des moteurs de recherche malveillants peuvent prendre beaucoup de temps à se rétablir et agir rapidement peut aider à minimiser les dommages.

Nous avons pris contact avec la sécurité de GoDaddy et avons proposé de partager des informations supplémentaires avec eux. Ils n’ont pas fourni de commentaire à temps pour la publication.

Tous les noms de produits et de sociétés mentionnés dans cet article sont des marques ou des marques déposées de leurs détenteurs respectifs. Leur utilisation n’implique aucune affiliation ou approbation de leur part.