Un outil agressif qui frappe un nombre important de plates-formes et services Web populaires tente de forcer son chemin avec des combinaisons de connexion obtenues en analysant les métadonnées de la cible.

Le logiciel malveillant recherche divers systèmes pour gérer le contenu, les bases de données et les transferts de fichiers ainsi que les fichiers de sauvegarde et les chemins de connexion de l’administrateur.

Frapper le CMS et les services

Dans une analyse publiée aujourd’hui, le chercheur en sécurité d’Akamai, Larry Cashdollar, fournit des détails techniques sur un logiciel malveillant similaire à Stealthworker, un outil de force brute basé sur Golang qui a été analysé par le passé par Malwarebytes et Fortinet.

La version analysée par Cashdollar cible cPanel, un CMS largement déployé comprenant WordPress, Drupal, Bitrix, OpenCart, Magento et des services comme MySQL, PostgreSQL, SSH et FTP. L’analyse précédente mentionne également phpMyAdmin.

Le chercheur a attrapé le malware dans un pot de miel et a constaté qu’il attribue un rôle à chaque machine infectée: scanner d’autres cibles ou forcer la connexion d’une cible assignée.

Avant d’accéder à cette partie, Cashdollar a remarqué que le logiciel malveillant avait installé le thème WordPress gratuit Alternate Lite. Le but du thème n’est pas clair mais le chercheur a remarqué que l’attaquant a remplacé le script « cutomizer.php » par un script de téléchargement de fichier qui permet d’obtenir des fichiers via une requête POST ou une URL.

Une autre observation intéressante est que les fichiers autres que du texte seront enregistrés avec l’extension «.moban». Il existait un thème WordPress du même nom, qui avait également une fonctionnalité de téléchargement de fichiers. Cashdollar spécule que les attaquants ont utilisé le code de Moban.

Une fois les fichiers en place, le logiciel malveillant contacte le serveur de commande et de contrôle pour recevoir une liste de cibles et de connexions. Si le système agit comme un scanner, il essaiera de déterminer si la cible exécute WordPress; sinon, la machine accède à la routine de force brute.

Avant l’attaque …