De fausses publicitées de crypto infectent des milliers de sites WordPress

À l'ouest, rien de nouveau. Les portefeuilles de crypto-monnaies sont une des cibles de choix des hackers qui utilisent des draineurs de crypto pour vider les comptes de leurs victimes. Et pour ce faire, ils ont inondé près de 2 000 sites WordPress de faux NFT et des pop-ups de réduction pour inciter les visiteurs à connecter leurs portefeuilles à des draineurs de crypto qui volent automatiquement des fonds à leur insu. 

Là encore, WordPress n'est pas vierge de toute attaque, la dernière en date s'étant faufilée dans la faille du plugin LiteSpeed en mettant en danger 5 millions de sites. Ces attaques sophistiquées utilisent des scripts malveillants pour transformer les navigateurs Web des visiteurs en outils de force brute, mettant à sac la sécurité des utilisateurs et de leurs avoirs en crypto.

L'ampleur et la sophistication de l'attaque


La société de sécurité de sites Web Sucuri a révélé en mars 2024 que des pirates avaient compromis environ 1 000 sites WordPress pour promouvoir des draineurs de crypto via des publicités malveillantes et des vidéos YouTube. N'ayant visiblement pas réussi leur campagne initiale, ils ont commencé à déployer des scripts d'information sur les sites compromis pour transformer les navigateurs Web des visiteurs en outils permettant de forcer brutalement les mots de passe administrateur d'autres sites.Ces attaques impliquaient un groupe d'environ 1 700 sites de force brute, dont des exemples marquants comme le site Web de l'Association des banques privées de l'Équateur

L'objectif était de créer un pool de sites suffisamment grand pour pouvoir éventuellement monétiser dans le cadre d'une campagne plus vaste. Selon le chercheur en cybersécurité MalwareHunterTeam, les hackers ont désormais commencé à monétiser le pool de sites pour afficher des pop-up faisant la promotion de fausses offres NFT et de remises sur les crypto. Bien que l'on ne sache pas combien de sites compromis affichent actuellement ces draineurs de crypto, une recherche Urlscan montre que plus de 2 000 sites Web compromis ont chargé des scripts malveillants au cours des sept derniers jours. 

Tous ne génèrent pas actuellement des escroqueries crypto-pop-up, mais cela pourrait changer à tout moment. Les scripts malveillants sont chargés à partir du domaine Dynamic-linx.com, qui est la même URL que Sucuri a vue le mois dernier.Ce script recherchera un cookie spécifique (« haw ») et, s'il n'existe pas, injectera des scripts malveillants dans la page Web. Le code malveillant affiche de manière aléatoire une fenêtre contextuelle promotionnelle, invitant les victimes à connecter leur portefeuille pour créer un NFT prometteur ou pour bénéficier d'une réduction sur le site Web.

Un clic permet aux hackers de vider les comptes crypto des victimes


Les draineurs de crypto sont les bêtes noires de la communauté des crypto-monnaies, secteur déjà fragilisé depuis la flambée de sa devise phare, le Bitcoin, la condamnation du patron de FTX, Sam Bankman-Fried, et tout récemment, le procès de Google contre des hackers qui mettaient à disposition de fausses applis de crypto sur son Play Store.

BleepingComputer a testé plusieurs sites hébergeant ces scripts, et bien qu'il y ait eu au départ quelques fenêtres contextuelles qui ne tentaient pas de se connecter aux portefeuilles, elles ont finalement recommencé à fonctionner. Lorsque vous cliquez sur le bouton de connexion, les scripts affichent initialement la prise en charge native des portefeuilles MetaMask, Safe Wallet, Coinbase, Ledger, et Trust Wallet.

 Et parce qu'ils ne font pas les choses à moitié, ils gèrent aussi « WalletConnect », qui prend en charge de nombreux autres portefeuilles, élargissant ainsi considérablement la portée du ciblage.Une fois qu'un visiteur connecte le site à son portefeuille, le draineur de crypto vole tous les fonds et NFT du compte et les transfère aux hackers. Il convient de noter que MetaMask affichera un avertissement lors de la visite de sites Web infectés par ces scripts malveillants.