Les chercheurs de Sucuri rapportent que les pirates ont compromis des milliers de sites sous WordPress pour infecter les visiteurs avec des Malwares.
Cette campagne de Malware a commencé il y a 15 jours, mais ces dernières 48 heures, le nombre de sites compromis a considérablement augmenté passant de 1000 sites pour mardi à 6 000 pour la journée du jeudi. Les sites WordPress compromis sont utilisés pour rediriger les visiteurs vers un serveur qui contient un code malveillant du kit Nuclear. Le serveur va tenter différents exploits selon le système d’exploitation et les applications disponibles de l’utilisateur.
Pour les pirates, les sites WordPress sont juste un moyen d’accéder au maximum de points d’entrées possibles. Et les sites web sont la meilleure manière pour atteindre le plus de victimes. Le jeudi 17 septembre 2015, Sucuri a détecté des milliers de sites compromis et 95 % tournent sous WordPress. La faille réside sans doute dans un plugin WordPress, mais les chercheurs ne l’ont pas encore identifié. Mais Google a déjà identifié 17 % des sites et il a averti les utilisateurs qui tentent d’y accéder que le site est potentiellement malveillant. Sucuri ajoute que les pirates ont réussi à compromettre le fournisseur de sécurité Coverity pour leur mécanisme de redirection des visiteurs.
Sucuri a surnommé cette campagne de Malware VisitorTracker puisque l’une des fonctions dans le fichier JavaScript malveillant est visitorTracker_isMob(). Sucuri n’a pas pu identifier les sites WordPress compromis, mais la firme propose un outil en ligne aux administrateurs pour voir si leur site a été compromis.
