Crypto-monnaie : Nouveau hack sur les sites WordPress

Lors du mois de septembre, les spécialistes de la sécurité informatique se sont penchés sur les logiciels malveillants qui cherchent à extraire la crypto-monnaie sur votre site. Wordfence, entreprise connue pour son expertise dans le domaine de la sécurité informatique, a enquêté et décelée qu’il existe de plus en plus d’attaques visant à faire télécharger aux internautes des logiciels malveillants cherchant à dérober de la crypto-monnaie.

Nouveau hack WordPress avec l'extraction de la crypto-monnaie

 

Les attaques de crypto-monnaie sur WordPress

Pour ceux qui ne sont pas au courant, les crypto-monnaies sont des devises numériques permettant de remplacer la monnaie traditionnelle. Les exemples les plus connus sont Bitcoin, Litecoin, Ethereum ou encore Monero. L’extraction de crypto-monnaie est un processus assez complexe basé sur des calculs intensifs. Il faut une quantité massive de ressources informatiques afin de générer un revenu significatif. Les personnes intéressées par l’extraction de crypto-monnaie ont généralement besoin d’investir dans du matériel relativement onéreux.

Récemment, des plateformes en ligne ont vu le jour et permettent aux propriétaires de site internet d’exploiter leur site web afin d’obtenir de la crypto-monnaie. La démarche est très simple, les propriétaires de site internet se créent un compte sur une des plateformes spécialisées dans le domaine, ces dernières leurs fournissent un code javascript à insérer sur le site et le tour est joué ! L’inconvénient de cette méthode est que l’expérience utilisateur est amoindrie car l’ordinateur des visiteurs est alors mis à contribution. Il y a donc fort à parier pour que les internautes trouvent cette pratique incommodante…

La première attaque de crypto-monnaie sur un site WordPress est apparu le 17 septembre 2017. Rassurez-vous, le volume d’attaque est jusqu’à présent très faible et les méthodes sont peu efficaces. Cependant, toujours selon Wordfence, ces pratiques risquent de s’intensifier et de se sophistiquer de plus en plus dans les jours à venir.

Les attaques analysées par l’équipe de Wordfence révèlent que pour l’instant, les pirates s’attaquent à des failles de sécurité bien connues. On pourrait par exemple citer des tentatives d’insertion de code javascript via les comptes administrateurs WordPress ou encore par le biais de comptes FTP compromis.

Quels sont les profits pour les pirates profitant de la crypto-monnaie ?

Les propriétaires de site qui intègrent un code Javascript Coinhive dans leur site web gagnent de la monnaie Monero. Le code fournit par Coinhive utilise les ressources des visiteurs pour extraire la monnaie. Un pirate peut donc placer un code Coinhive sur un certain nombre de site WordPress et gagner de l’argent virtuel Monero grâce aux visiteurs.

Exemple de code Coinhive servant aux pirates qui cherchent à extraire de la crypto-monnaie

Voici à quoi ressemble un code Javascript fourni par Coinhive, servant donc à extraire de la monnaie Monero

L’équipe de recherche de Checkpoint a analysé le potentiel profit pour un pirate injectant ce malware. Ils ont conclu qu’un pirate suffisamment performant pourrait atteindre en moyenne 1 000 utilisateurs en simultanés sur l’ensemble des sites infectés et donc générer 2 398 dollars de revenus mensuels.

Il est fort probable que ces attaques viseront des sites Web à fort trafic, puisque le potentiel de profit augmente considérablement avec un nombre plus élevé de visiteurs.

Comment vérifier si votre site internet est infecté par un virus d’exploitation de crypto-monnaie ?

Premièrement sachez que le pare-feu fourni par le plugin Wordfence bloque les pirates tentant d’insérer le code Coinhive sur votre site internet. Malheureusement pour l’instant seul les détenteurs de Wordfence Premium peuvent bénéficier de cette fonctionnalité. Mais rassurez-vous car dès le 24 novembre 2017, cette fonctionnalité sera disponible via la version communautaire du Threat Defense Feed.

Il est important de détecter rapidement une infection si un pirate parvient à passer à travers vos défenses. Vous trouverez ci-dessous un exemple d’analyse fourni par Worfence qui indiquerait que cette infection existe sur votre site.

Exemple de rapport fourni par Wordfence lorsqu'il détecte un code de crypto-monnaie

Il existe également l’outil GravityForm, dont on vous a parlé lors d’un précédent article , qui vous permettra de détecter ce genre de hack.

Attention car si vous avez ajouté intentionnellement un code d’exploitation de crypto-monnaie à votre site, ne prenez pas en compte le rapport Wordfence.

Certains logiciels malveillants de cryptage peuvent être plus cachés que d’autres, alors faites toujours attention si jamais une majorité de vos visiteurs commencent à signaler des performances médiocres lorsqu’ils visitent votre site

Que faire si votre site est infecté par un logiciel d’extraction de Crypto-monnaie ?

Si lors de votre analyse vous trouvez des résultats vous mettant la puce à l’oreille ou tout simplement si vous souhaitez vous assurer que votre site ne comporte aucun hack, n’hésitez pas à contacter notre équipe. Notre équipe nettoiera votre site et le remettra en ligne le plus rapidement possible.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *