Sucuri, un blog spécialisé dans la cybersécurité, révèle avoir découvert une cyberattaque en cours contre des milliers de sites propulsés par WordPress. Citant les données fournies par PublicWWW, un moteur de recherche qui permet de trouver des sources de code sur le web, le blog indique que 3 300 sites web ont été piratés depuis le 12 février 2024. Du code malveillant a été injecté sur ces sites web, mettant en danger les internautes.
À lire aussi : Les mots de passe d’un million de sites WordPress ont été volés par des pirates
Une faille exploitée à plusieurs reprises
L’attaque repose sur une faille de sécurité au sein de Popup Builder, un plugin WordPress qui permet de créer des popups personnalisables et adaptés aux smartphones, sans avoir besoin d’écrire une seule ligne de code. La brèche a été découverte en novembre 2023. Elle a promptement été corrigée. Malheureusement, les versions obsolètes du plugin sont toujours vulnérables et de nombreux administrateurs de sites n’ont pas encore installé la mise à jour.
De facto, des pirates en ont profité pour injecter du code sur des milliers de sites en s’appuyant sur le plugin. Comme l’explique Sucuri, le code s’active quand le plugin réalise des actions spécifiques, comme ouvrir ou fermer une fenêtre. Apparemment, l’objectif principal des cybercriminels est de relayer les internautes vers des sites web frauduleux. En clair, ils se servent du plugin pour faire apparaître leurs sites malveillants à l’écran et attirer leurs cibles dans un piège. Ces sites, conçus par les hackers, peuvent par exemple servir à voler des données personnelles ou à extorquer de l’argent.
Ce n’est pas la première fois que la faille de Popup Builder est exploitée par des criminels. Entre décembre 2023 et janvier 2024, des pirates ont utilisé la vulnérabilité pour propager le malware Balada Injector sur plus de 6 700 sites WordPress. L’attaque s’inscrivait dans une vaste campagne initiée en 2017, cumulant plus de 17 000 sites infectés. Là encore, le virus était taillé pour relayer les visiteurs sur des pages factices, imitant l’interface d’une loterie ou d’un support clientèle par exemple.
Si vous avez utilisé Popup Builder sur votre site web, on vous conseille d’installer sans plus attendre la dernière mise à jour, à savoir la version 4.2.7. Malgré le déploiement de la mise à jour, plus de 80 000 sites WordPress utilisent toujours une version obsolète, et donc vulnérable, du plugin. Les pirates peuvent dès lors se servir de la faille pour orchestrer des cyberattaques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Sucuri
