Le malware SoakSoak s’attaque à WordPress

Le malware SoakSoak a infecté plus de 100 000 sites WordPress. Un taux d’infection encore faible pour un risque réel que Google prend au sérieux, en blacklistant un certain nombre d’URL.

Pas moins de 100 000 sites WordPress sont victimes d’une campagne d’infection propagée par un malware, avance l’entreprise de sécurité Sucuri. Dénommé SoakSoak (à cause du nom de domaine de redirection utilisé, Soaksoak.ru), la bestiole exploite une vulnérabilité du plug-in RevSlider de la célèbre plate-forme Open Source de création de sites web et gestion de contenus.

Backdoors à foison

Le greffon Slider Revolution Premium de WordPress permet de gérer le glisser-déposer dans une page web. C’est un plug-in majeur, massivement téléchargé quand il n’est pas installé par défaut dans un thème (modèle). « Nous réhabilitons des milliers de sites et, lors de la prise de contact avec nos clients, un grand nombre d’entre eux n’avait aucune idée que le plug-in trônait au sein même de leur environnement », souligne Sucuri. Une ignorance d’autant plus problématique que le plug-in star est affaibli par une « vulnérabilité sérieuse » que l’expert en sécurité avait découverte en septembre dernier.

Les vulnérabilités permettent à SoakSoak de télécharger fichier de configuration et thème malveillants sur le site web tout en injectant une porte-dérobée qui permet aux assaillants de pénétrer la plate-forme sans passer par les contrôles d’accès habituels. A partir de là, les pirates installent une autre backdoor qui modifie le fichier swfobject.js afin d’installer le malware qui redirigera les visiteurs vers Soaksoak.ru, un site à éviter puisque potentiellement infectieux.

11 000 sites bannis par Google

Sucuri prévient par ailleurs que « cette campagne fait également usage d’un certain nombre de nouvelles portes dérobées. Certaines sont injectées dans les images pour élargir la fraude, et d’autres sont utilisées pour installer de nouveaux utilisateurs administrateurs dans WordPress, leur donnant encore plus de contrôle sur le long terme ». La suppression des deux fichiers infectieux (swfobject.js et template-loader.php) ne suffit pas à nettoyer les plates-formes infectées tant que les backdoors permettront aux assaillants de pénétrer les systèmes. Selon Sucuri, seul un firewall, « un vrai », est à même de contrer ces attaques.

Pour lutter contre la propagation de SoakSoak, Sucuri propose évidemment son propre outil de détection et nettoyage en ligne. De son côté, Google a blacklisté 11 000 sites, probablement infectés, de son moteur de recherche, rapporte The Guardian. Pour l’heure, le taux d’infection reste faible : moins de 0,2 % des 70 millions de sites sous WordPress dans le monde sont concernés.


Lire également
Destover : le malware revient… et il est signé Sony
Le malware WireLurker piège iPhone et iPad via Mac OS X
WordPress, une faille transforme une extension de Newsletter en spammeur

crédit photo : © GlebStock / Shutterstock