Une nouvelle campagne malveillante a compromis plus de 15 000 sites WordPress dans le but de rediriger les visiteurs vers de faux portails de FAQ.
WordPress, cible d’une nouvelle campagne malveillante de référencement négatif
Des chercheurs en cybersécurité ont détecté une nouvelle campagne malveillante destinée aux sites WordPress, déjà cibles d’attaques régulières. Cette attaque de seo blackhat a compromis plus de 15 000 sites du CMS WordPress, dans le but de rediriger les visiteurs vers de faux sites de FAQ, ayant pour la plupart des thématiques liées aux crypto-monnaies et à la finance.
Comment fonctionne l’attaque ?
De nombreux fichiers php compromis
Pour réaliser les redirections, les pirates utilisent des fichiers PHP WordPress modifiés, voire leurs propres fichiers. En moyenne, les sites compromis contiennent 100 fichiers chacun.
Pour l’heure, aucune activité malveillante n’a été détectée depuis ces sites de spam. Toutefois, les acteurs de cette campagne de seo black hat peuvent ajouter des logiciels malveillants ou rediriger les visiteurs des sites ciblés vers des sites malveillants.
Parmi les pages les plus fréquemment infectées, figurent wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php et wp-blog-header.php.
Redirection vers un site spam
L’objectif final de la campagne est de « générer plus de trafic vers leurs faux sites » et de « renforcer l’autorité des sites en utilisant de faux clics sur les résultats de recherche pour que Google les classe mieux ».
Pour atteindre ce but, le code injecté redirige vers une image PNG hébergée sur un domaine nommé « ois[.]is » qui, au lieu de charger une image, amène le visiteur du site vers une URL d’un domaine de FAQ spam.
Une campagne SEO aux caractéristiques particulières
Une des caractéristiques de cette campagne black hat est la capacité des pirates à modifier plus de 100 fichiers en moyenne, par site internet. Cette approche contraste fortement avec d’autres attaques de ce type, où seule une quantité limitée de fichiers est modifiée pour réduire les traces de passage et échapper à toute détection.
Avec cette compromission étendue, le malware peut exécuter des redirections vers les sites du choix de l’attaquant. À noter que les redirections ne se produisent pas si le cookie WordPress_logged_in est présent ou si la page active est wp-login.php (c’est-à-dire la page de connexion), afin de ne pas éveiller les soupçons.
Une attaque de SEO black hat aux résultats nuancés
L’entreprise de cybersécurité Sucuri a détaillé dans un rapport, qu’il semble que ces redirections malveillantes soient conçues dans le but d’augmenter l’autorité des sites de l’attaquant pour les moteurs de recherche. Ce même document qualifie cette attaque d’« astuce intelligente de black hat SEO ». Cette technique de pollution des moteurs de recherche vise à promouvoir une « poignée de faux sites de questions-réponses de faible qualité » qui partagent des structures similaires et qui sont exploités par le même acteur malveillant.
« Il est possible que ces mauvais acteurs essaient simplement de convaincre Google que des personnes réelles provenant de différentes IP et utilisant différents navigateurs cliquent sur leurs résultats de recherche. Cette technique envoie artificiellement à Google des signaux indiquant que ces pages sont performantes dans les pages de recherches ». Ajoute Ben Martin, chercheur chez Sucuri. « Il s’agit d’une astuce de black hat SEO plutôt habile que nous avons rarement vue utilisée dans des campagnes de piratage massives. Cependant, son effet est discutable dans la mesure où Google obtiendra de nombreux « clic » sur les résultats de recherche sans qu’aucune recherche réelle ne soit effectuée.»
Comment se protéger de cette attaque de redirection
Sucuri a déclaré n’avoir relevé aucune faille dans les plugins infectés par les acteurs malveillants. Toutefois, le brute-forcing des comptes d’administrateur WordPress est soupçonné. Il est donc essentiel que les utilisateurs du CMS activent l’authentification à deux facteurs et s’assurent que tous les logiciels et extensions sont à jour avec les derniers correctifs de sécurité.
