Un aperçu de WP-VCD, la plus grande opération de piratage WordPress actuelle

Un aperçu de WP-VCD, la plus grande opération de piratage WordPress actuelle

Sécurité : Un rapport Wordfence partagé exclusivement avec ZDNet montre la façon dont le gang et ses programmes malveillants fonctionnent, ce qu’ils recherchent et comment éviter de devenir leur prochaine victime.

Selon un rapport Wordfence partagé avec ZDNet, la principale menace visant les sites WordPress est une opération criminelle connue sous le nom de WP-VCD, actuellement responsable de la grande majorité des sites WordPress piratés.

Le rapport détaille comment le groupe WP-VCD propage son malware, comment il fonctionne ses objectifs et les fuites qui ont peut-être révélé la véritable identité de l'un de ses membres.

Diffusion via des thèmes et des plug-ins piratés

Mais s'il y a un thème récurrent dans tout le rapport, c'est que ces infections auraient pu être très facilement évitées. Le groupe WP-VCD n’utilise pas de vulnérabilités pour pénétrer dans des sites et installer des backdoors.

Au lieu de cela, ils comptent sur les erreurs des webmasters pour s’infecter eux même en téléchargeant et en installant des thèmes et des plug-ins piratés pour leurs sites WordPress.

Le gang exploite un vaste réseau de sites Web (voir la liste ci-dessous) proposant des thèmes et des plug-ins piratés. Sur ces sites, le groupe propose des téléchargements gratuits de thèmes commerciaux populaires, généralement vendus dans des magasins en ligne ou sur des sites populaires tels que ThemeForest ou CodeCanyon.

www.download-freethemes.download
www.downloadfreethemes.co
www.downloadfreethemes.space
www.downloadnulled.pw
www.downloadnulled.top
www.freenulled.top
www.nulledzip.download
www.themesfreedownload.net
www.themesfreedownload.top
www.vestathemes.com

Tous ces sites de distribution de thèmes et de plug-ins piratés et piégés bénéficient d'un référencement phénoménal. Ils se classent bien dans les résultats de recherche, car tous les sites bénéficient d’un boost de référencement provenant de l’ensemble des sites utilisant les sites piratés.

La recherche du nom d’un thème WordPress populaire et du terme "télécharger" donne généralement des liens portant vers deux ou trois de ces sites malveillants, directement en haut des résultats de recherche Google.

Cela garantit l'arrivée d'un nouveau flux de victimes sur les sites malveillants, alimentant de nouvelles victimes dans le botnet WP-VCD.

Une infection par WP-VCD est généralement assez grave

Une fois que les utilisateurs ont installé l’un des thèmes et plug-ins piégés qu’ils ont téléchargés à partir de ces sites de distribution, leurs installations WordPress sont piratées et reprises en quelques secondes.

Pour commencer, un compte de porte dérobée portant le nom 100010010 est ajouté à chaque site, garantissant ainsi que les opérateurs WP-VCD disposent d'un moyen d'accéder à l'installation de chaque victime à l'aide d'un utilisateur légitimement enregistré.

Deuxièmement, le malware WP-VCD est ajouté à tous les thèmes du site. Ceci est fait dans le cas où l'utilisateur ne ferait que tester les thèmes piratés. Au cas où ils n’utiliseraient finalement pas le thème avec le fichier infecté, le code WP-VCD sera toujours exécuté à partir des autres thèmes.

Troisièmement, s’il s’agit d’un environnement d’hébergement partagé, le logiciel malveillant se propage également sur le serveur sous-jacent, infectant d’autres sites hébergés sur le même système. De fait, cela pénalise ainsi les utilisateurs qui ont investi dans la sécurité de leur site, pour se laisser finalement avoir par la faute d’un autre administrateur.

Comment les escrocs WP-VCD gagnent de l’argent

Le but de tout cela est de créer un botnet de sites piratés qui rendent compte à un réseau central de serveurs de commande et de contrôle (C & C). À partir de là, le groupe WP-VCD peut contrôler ce qui arrive à tous les sites piratés.

Selon Wordfence, le groupe se concentre sur deux actions. La première consiste à insérer des mots-clés et des backlinks vers leurs sites de distribution. Ainsi, tous les sites piratés contribuent à améliorer la visibilité des sites de distribution dans les résultats de recherche, alimentant ainsi le botnet en nouvelles infections...

Lire la suite