Serveurs abandonnés piratés : l’aide invisible des auteurs malveillants

blog_main_abandonné

Voilà 5 ans que vous occupez le même poste, que vous vous sentez sous-estimé et surmené. Pour parer à l’ennui, vous commencez à surfer sur les sites d’offres d’emploi pendant votre temps libre, pour voir si une meilleure opportunité ne s’offrirait pas à vous. Alors que vous cherchez le poste idéal, et que s’affichent les résultats, vous voyez apparaître un pop-up vantant les mérites d’une agence de recrutement, qui propose exactement le job de vos rêves. Vous cliquez sans hésiter sur le lien et êtes redirigé vers un site tiers. Et vlan ! Votre ordinateur se retrouve infesté par toute une panoplie de logiciels malveillants !

Le site vers lequel vous avez été redirigé a peut-être été, en son temps, un site de recrutement légitime ou le blog d’un véritable internaute, toutefois il a été depuis piraté et, le pire, quand vous contactez l’administrateur pour lui indiquer que son site diffuse des programmes malveillants, vous ne recevez aucune réponse.

Forcepoint décrit une attaque qui dépeint ce scénario tragique un peu plus sombrement encore :

« L’injection prend en otage les visiteurs des sites compromis et les redirige vers de faux sites d’antivirus qui tentent d’inciter les internautes à télécharger et installer un cheval de Troie sur leur ordinateur. »

Dans cet exemple, vous prenez part activement au téléchargement du programme malveillant, simplement parce que vous pensez avoir trouvé un moyen de supprimer ledit malware !

Alors, comment l’arnaque fonctionne-t-elle ?

 

blog_scission_contenu_abandonné

Les sites Web abandonnés sont des sites délaissés par leurs propriétaires

Tout est dans l’énoncé : un site abandonné est un site dont personne ne s’occupe plus ou dont les données de contact du propriétaire du site sont incorrectes. Quand un site est piraté, on ne peut contacter personne pour le nettoyer. De tels sites diffusent des programmes malveillants à l’insu de leurs propriétaires ou sans que ceux-ci ne puissent contrôler ce qui se passe. La seule option qui reste à l’internaute ayant découvert un programme malveillant sur un site abandonné est de contacter l’hébergeur du site Web directement afin que ce dernier le mette hors ligne ; ce qui ne donne pas toujours les résultats escomptés comme l’image ci-dessous le montre. Michael Gillespie, un chercheur en sécurité de la MalwareHunterTeam, nous a envoyé des pages et pages relatant les tentatives de contact d’administrateurs de site Web pour les informer que certains sites injectaient des rançongiciels ou d’autres programmes malveillants. La plupart des communications ne reçurent de réponse ou en reçurent des vagues. Les chercheurs en sécurité professionnels passent un nombre incalculable d’heures à tenter de faire supprimer ces sites ; autant dire qu’un internaute lambda a très peu de chances de voir de tels incident résolus. Ce sont les administrateurs de site qui, en définitive, sont tenus de le faire.

Image : Michael Gillespie @demonslay335

Puisque ces administrateurs ne s’occupent plus de leurs sites, il n’est pas exclu d’envisager que les sites sont exécutés selon des systèmes de gestion de contenu archaïques (par exemple, d’anciennes versions de Drupal, WordPress, etc.), des modules d’extension obsolètes ou que la configuration du serveur Web est tout simplement mauvaise. Voilà pourquoi les sites abandonnés sont de parfaits hôtes pour des injections d’URL.

S’adressant aux administrateurs, la Search Console de Google définit l’injection d’URL comme suit :

« Cela signifie qu’un pirate informatique a créé de nouvelles pages sur votre site, qui contiennent souvent des mots ou des liens contenant du spam. Ces nouvelles pages contiennent parfois du code qui effectue des actions indésirables, tel que rediriger vos internautes vers d’autres sites ou faire participer votre serveur Web à des attaques de type refus de service contre d’autres sites. »

Les sites abandonnés ne se démarquent en rien des autres sites

C’est le problème principal auquel nous sommes confrontés avec les sites abandonnés. La plupart du temps, il peut s’agir de sites tout à fait légitimes ! Citons par exemple les sites de toutes petites entreprises ou le blog d’un particulier. Certains sites diffusent même des kits d’exploit capables de télécharger des rançongiciels qui verrouilleront vos fichiers jusqu’à paiement de la rançon au cybercriminel qui les rendra de nouveau disponible. D’autres hébergent simplement des fichiers malveillants qui redirigent la victime vers un site piraté ou malveillant.

teslacrypt-640x577

Bien qu’il soit parfois difficile de comprendre les processus utilisés, un certain nombre de sites exécutés sur le système de gestion de contenu (CMS) de WordPress ont été piratés dans le but de diffuser des rançongiciels ou d’autres logiciels malveillants par le biais de la même méthode.

Chers administrateurs, vous êtes responsables et devez toujours prendre les mesures nécessaires pour empêcher une attaque

Un attaquant essaiera par tous les moyens possibles de tirer parti de votre site :

  1. En créant un site malveillant vers lequel votre site redirigera ses visiteurs.
  2. En exploitant une faille de votre serveur Web ou de la configuration de ce dernier, comme les faiblesses de votre système de gestion de contenu obsolète.
  3. En accédant à votre site via une faille dans les applications sur lesquelles votre site s’appuie, comme les widgets de Twitter, Facebook ou Instagram.

Parfois, vous constatez qu’il existe des dossiers aléatoires sur votre compte FTP. Par exemple, lorsque vous recevez une alerte provenant de Google Alertes ou d’un client potentiel visitant votre site. Parfois encore, lorsque vous vous connectez à votre compte FTP, vous découvrez qu’y sont entreposés des milliers de dossiers aux noms incongrus, chacun renseignant un site complet et frauduleux, dont un attaquant avait pris le contrôle.

Il en découle dès lors une autre menace. Un attaquant pourrait arriver à pirater votre site pour y héberger un site complètement différent : un site d’hameçonnage par exemple ou un site usurpant les données d’une autre entreprise afin d’en ternir la réputation ou d’en détourner leur notoriété, voire un site se faisant passer pour une page hébergeant la solution de paiement des rançons que doivent débourser les victimes.

Nemucod injecte des rançongiciels et héberge des pages de paiement de rançon

Un exemple bien réel d’une attaque banale : Nemucod. Cette famille de rançongiciels pirate les sites, ajoute un dossier dans le FTP (généralement intitulé « counter ») et utilise ledit site pour héberger non seulement des programmes malveillants téléchargés afin d’infecter des victimes (ils déposent leur propre rançongiciel peu performant accompagné généralement du cheval de Troie Kovter) mais également le « portail de paiement » où la victime se rend ensuite pour obtenir le déchiffreur une fois la rançon payée. En fait, le site que vous avez négligé est utilisé pour exploiter des victimes et, sans votre intervention, cette malveillance se perpétuera mois après mois.

texte_récupération

Bien que de tels sites soient constamment mis hors ligne, les attaquants ajoutent tout simplement 5 domaines au logiciel malveillant initial, techniquement l’injecteur Nemucod. Ce dernier cherche ensuite lequel des 5 sites est toujours en ligne pour en tirer le fichier malveillant. Une fois cela fait, il change les domaines pour 5 autres, avant de sortir aléatoirement une nouvelle version. Nemucod est actif depuis de nombreuses années. Michael Gillespie, chercheur en sécurité de la MalwareHunterTeam, nous indique que son outil ID Ransomware enregistre encore aujourd’hui des entrées le concernant !

Si vous êtes une victime de Nemucod ou de toute autre famille de rançongiciels, nous veillons sur vous et vous proposons toute une liste de déchiffreurs.

Conseil adressé aux administrateurs afin de parer aux attaques malveillantes :

Mettez à jour systématiquement les logiciels de vos sites (CMS, modules d’extension, thèmes, etc.), et pensez à configurer des mots de passe compliqués pour protéger votre FTP et autre cPanel.

Les utilisateurs peuvent assurer leur sécurité en étant prudent lorsqu’ils naviguent sur la toile

Lorsque vous êtes en ligne, faites preuve de bon sens. Si vous êtes redirigé vers des sites n’ayant rien à voir avec vos investigations en ligne, fermez votre navigateur et exécutez votre logiciel anti-malware. Protégez votre ordinateur avec un programme anti-malware de qualité qui offre une protection lors de la navigation. Protection de surf d’Emsisoft garantit de vous envoyer une alerte si vous veniez à être redirigé involontairement vers un site qui injecte des chevaux de Troie ou tout autre programme malveillant, et que vous ne pourrez vous y connecter.

Nous vous souhaitons une excellente journée (sans l’ombre d’un programme malveillant) !

Fran Rajewski

What to read next