jamdesign - stock.adobe.com
Un keylogger implanté dans près de 5500 sites Wordpress
Un logiciel espion enregistrant les saisies au clavier s’est invité discrètement sur plus de cinq milles sites Web animés par Wordpress. Et les auteurs n’en sont pas à leur première opération.
Sucuri lance l’alerte : près de 5500 sites Web basés sur Wordpress cachent – à leur insu – un logiciel espion collectant les saisies au clavier effectuées tant que l’internaute est sur le site. Le code malveillant est écrit en JavaScript et ajouté discrètement au code HTML généré par Wordpress via le fichier function.php du thème utilisé.
Le piège ne manque pas subtilité : un outil de surveillance tel que X-Fence de F-Secure, sur Mac, signale les anomalies dans le fonctionnement d’applications, et en particulier lorsqu’elles commencent à accéder à la Webcam, ou à intercepter mouvements de la souris et frappes clavier. Mais là, rien : suivre ce qui est tapé au clavier est normal pour le navigateur Web. Et la surveillance de ses processus ne descend pas jusqu’au code Javascript interprété…
La bonne nouvelle est qu’une technologie de déport de rendu HTML5 comme celle de Menlo Security protège contre ce genre de malveillance. WatchGuard revendique aussi de bloquer le code JavaScript malicieux. Et comme pour les indélicats pratiquant le cryptojacking, ce ne sont assurément pas les seules solutions.
Et justement, Sucuri a alerté, fin septembre, sur l’injection de code JavaScript de cryptomining à l’insu des propriétaires des sites concernés, Wordpress comme Magento. Mais les cyber-délinquants à l’origine de ces détournements n’en sont pas à leur premier coup : Sucuri les avait déjà observés au printemps. Alors ils n’en sont peut-être pas non plus à leur dernier coup.