Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


jquery

Les chercheurs en sécurité ont découvert de fausses versions du plug-in jQuery Migrate, injectées dans des dizaines de sites Web, contenant du code obscurci pour charger des logiciels malveillants.

Ces fichiers sont nommés jquery-migrate.js et jquery-migrate.min.js et présentent exactement où les fichiers JavaScript sont normalement présents sur les sites Web WordPress mais sont en fait malveillants.

À partir d’aujourd’hui, plus de 7,2 millions de sites Web Utilisez le plugin jQuery Migrate, qui explique pourquoi les attaquants camouflent leurs malwares sous le nom de ce plugin populaire.

Des chercheurs découvrent de faux fichiers jQuery qui sont des logiciels malveillants

Cette semaine, les chercheurs en sécurité Denis Sinegubko et Adrian Stoian De faux fichiers jQuery se faisant passer pour le plugin jQuery Migrate ont été découverts sur des dizaines de sites Web.

Pour rendre la détection difficile, ces fichiers malveillants remplacent les fichiers d’origine légitimes qui existent ci-dessous ./wp-includes/js/jquery/ Le répertoire dans lequel WordPress stocke les fichiers jQuery se trouve sur ces sites Web.

Ces fichiers sont nommés jquery-migrate.js et jquery-migrate.min.js ont un code obscurci qui charge un mystérieux plus loin analyser.js Fichier de code malveillant.

Bien que l’ampleur de cette attaque reste à déterminer, Sinegubko a partagé une requête de recherche qui montre plus de trois douzaines de pages actuellement infecté par le malware Analytique Scénario.

Contrairement à son nom, le Analytique Le fichier n’a rien à voir avec la collecte de métriques de site Web:

faux malware JQuery Analytics
Malicious analyz.js contient du code plus obscurci
Source: BleepingComputer

BleepingComputer a analysé une partie du code obscurci contenu dans le fichier.

Le code contient des références à « /wp-admin/user-new.php », une page d’administration WordPress pour la création de nouveaux utilisateurs. De plus, le code accède au _wpnonce_create-user Variable utilisée par WordPress pour appliquer la protection CSRF (Cross-Site Request Forgery).

En général, la possibilité d’obtenir ou de définir des jetons CSRF permettrait aux attaquants de faire de fausses demandes au nom des utilisateurs.

En injectant des scripts comme celui-ci dans un site WordPress, les attaquants pourraient mener diverses activités malveillantes, y compris toute arnaque Magecart Écumez la carte de crédit pour rediriger les utilisateurs vers des sites Web frauduleux.

Les utilisateurs peuvent être dirigés vers de fausses enquêtes ou des escroqueries au support technique et être invités à s’abonner ou à télécharger une notification de spam. extensions de navigateur indésirables.

Plus précisément, dans ce cas, le Vérifiez moi () La fonction tente de rediriger la fenêtre du navigateur de l’utilisateur vers une URL malveillante identifiée par BleepingComputer.

En particulier, la ligne 15 du Analytique Le script (voir ci-dessus) contient une URL codée, dont les caractères sont représentés sous forme de nombres ASCII.

Lors du décodage par BleepingComputer, l’URL a été identifiée comme suit:

https: //blow.talkingaboutfirms[.]ga /? sid = 54745-33-674347-21 & cid = 378345 & pidi = 654368 & aid = 27833

REMARQUE: les lecteurs sont priés de ne pas accéder à l’URL ci-dessus.

le analyser.js Le script redirige d’abord l’utilisateur vers cette URL, ce qui lui permet d’effectuer une série de redirections vers des URL de spam.

redirections d'URL malveillantes
Le fichier Malicious analysis.js redirige l’utilisateur vers des URL malveillantes pour demander les notifications d’autorisation
Source: BleepingComputer

Dans les exemples de BleepingComputer, les pages ont invité à plusieurs reprises l’utilisateur à autoriser les notifications du navigateur pour vérifier qu’ils n’étaient pas un robot, ou conduire à de fausses enquêtes visant à collecter des données sur les utilisateurs.

Tant que l’utilisateur ne clique pas sur « Autoriser », la séquence de redirection les fait parcourir différents domaines et pages Web, présentant le même message à l’utilisateur de manière plus créative.

Un exemple d’enquête sur le spam auquel l’utilisateur sera redirigé via cette URL est présenté ci-dessous:

faux sondage
Faux sondage qui séduit l’utilisateur sous prétexte de gagner un smartphone Samsung Galaxy S10
Source: BleepingComputer

Une recherche de cette URL nouvellement identifiée par BleepingComputer a donné plus plus de deux douzaines de sites Web qui en ont été infectés.

Le réseau d’URL de spam utilisé dans la séquence de redirection est également énorme avec plusieurs domaines impliqués. BleepingComputer n’a pas encore analysé chacun de ces domaines.

Taux de détection total de virus faible

Vu par BleepingComputer, au moment de l’écriture du malveillant analyser.js Le fichier en question et l’URL que nous avons identifiées passeraient sous le radar de plus de 90% des moteurs antivirus à de faibles taux de détection de VirusTotal.

En tant que tel, il peut ne pas être suffisant d’effectuer des analyses de sécurité de vos sites Web en se basant uniquement sur l’analyse basée sur les signatures pour détecter les faux codes cachés dans vos instances WordPress.

score viral total faible
Faible taux de détection des « analyses.js » malveillantes
La source: VirusTotal

On ne sait pas encore comment ces scripts sont injectés ou comment ils arrivent sur les sites Web des serveurs compromis.

Si votre site Web utilise WordPress ou des plugins JavaScript populaires tels que jQuery Migrate, vous devez effectuer régulièrement des examens de sécurité approfondis et rechercher des anomalies qui pourraient indiquer des signes d’activité malveillante.

Merci à Mark Roze de Spyse pour avoir fourni des données sur 7,2 millions de sites Web exécutant le plugin légitime jQuery Migrate.





Source link

Recent Posts