Par Eric Martin 
Du minage de cryptomonnaie découvert dans des plugins WordPress.
WordPress est très connu et utilisé pour créer des sites facilement notamment des blogs pour y diffuser des articles régulièrement.
WordPress qui propose notamment la possibilité d’utiliser des plugins ou extensions qui permettent d’effectuer des tâches automatiques sur le site internet.
Ce qui évite donc de devoir développer certaines fonctions, le plugin ou extension le fait tout de suite, en quelques clics cela fonctionne immédiatement sur le site WordPress.
Ces plugins sont développés par des développeurs indépendants parfois passionnés par la technologie WordPress ou par des sociétés spécialisées qui en ont fait leur activité.
La facilité d’installation d’un plugin WordPress sur un site utilisant ce logiciel peut hélas faciliter l’accès à des personnes malveillantes, pirates informatiques et autres hackers souhaitant prendre le contrôle d’un site pour diverses raisons.
Y placer des liens de publicités cachées dans les textes ou pour du spam SEO, héberger des fichiers sur l’espace disponible et dernièrement faire du minage de cryptomonnaie !
En effet, le minage de cryptomonnaie est devenu à la mode et rentable dès lors que vous pouvez utiliser les ressources CPU et les ordinateurs de personnes qui ne se doutent pas que l’on mine du Monero, du LTC, du Bitcoin BTC à leur insu.
Voyez notamment notre article justement sur une société de cybersécurité qui a découvert que la moitié des ordinateurs d’un aéroport Européen était infectée par du minage pirate de cryptomonnaie.
La société Sucuri, spécialisée dans la sécurité et la protection des sites WordPress, a récemment découvert des mineurs de cryptomonnaie cachés dans des plugins WordPress.
Du cryptojacking comme on l’appelle en Anglais, du minage pirate de cryptomonnaie.
Dans un article sur le blog Sucuri, les experts en sécurité WordPress expliquent en détails ce qu’ils ont découvert en plus de backdoors.
Des plugins ou extensions qui semblent légitimes voire innocents comme le dit Sucuri mais qui se révèlent être des plugins malveillants dangereux pour le site internet qui a installé ces plugins.
Plugins qui incluent souvent une backdoor permettant au pirate de garder le contrôle du site à distance une fois que le plugin WordPress est installé.
Sucuri explique donc comment procèdent ces plugins malveillants une fois installés.
Le plugin vérifie initialement s’il existe des fonctions désactivées.
Il recherche ensuite les fonctions habituelles system, exec et passthru, qui permettent l’exécution de commandes au niveau du serveur.
En faisant cela, le pirate informatique est capable d’exécuter secrètement du code sur le serveur et c’est là que le minage de cryptomonnaie entre en scène.
Sucuri explique avoir découvert que lorsque le plugin WordPress est téléchargé et installé, il modifie les autorisations et exécute un fichier binaire exécutable Linux (version 64 ou 32 bits).
Alors que souvent, une backdoor sert généralement pour l’exécution de PHP.
En examinant le code du plugin, ils ont constaté que le répertoire contenait déjà un fichier binaire.
Le fichier était un mineur de crypto-monnaie et identifié par plusieurs fournisseurs d’antivirus.
Multios Cryptominer Execution
Multios.Coinminer.Miner-6781728-2
ELF: BitCoinMiner-HE [Trj]
Linux.Application.CoinMiner.AH
En installant ces plugins WordPress, le propriétaire du site laissait donc pénétrer du code permettant du minage de cryptomonnaie à son insu.
Lisez leur article de blog afin de voir le détail du code qu’ils ont examiné.
Au final, du code malveillant peut se trouver n’importe où et aussi dans des plugins WordPress qui semblent tout à fait légitimes comme l’indique la société en cybersécurité WordPress.
Les pirates informatiques et hackers sont toujours plus malins et, dans le cas présent des plugins WordPress, le simple fait de supprimer le plugin malveillant n’élimine pas l’attaque car seuls les fichiers d’installation du plugin d’origine seront supprimés et pas le code binaire dangereux.
Il faudra analyser le code côté serveur pour s’assurer qu’aucun code malveillant ou inconnu n’a été ajouté et s’assurer que personne n’a accès au serveur ou au site de l’extérieur.
Cette découverte met clairement en alerte les propriétaires de sites wordpress sur les dangers que peuvent représenter certains plugins qui semblent légitimes mais qui cachent en fait des malwares très bien dissimulées pour un novice en informatique.
Une bonne publicité aussi pour Sucuri qui propose en effet une solution efficace de protection pour les sites WordPress comme la société Wordfence avec notamment Sucuri Scanner.
Des solutions qui vont scanner la partie serveur d’un site wordpress et pas seulement le site lui-même, ce qui doit normalement permettre de détecter du code inconnu, malveillant et non autorisé.
Voyez notre article sur la découverte de minage de cryptomonnaie dans des fichiers audio WAV !
Il faut donc avoir l’oeil partout car les pirates et hackers sont toujours plus malins pour pirater des ordinateurs et y installer notamment du minage de cryptomonnaie.
Il est aussi préférable de télécharger un plugin or extension Worpdress depuis la plateforme WordPress qui normalement vérifie les plugins qui sont proposés aux utilisateurs de la solution logicielle WordPress.
Les plugins wordpress qui restent au final très utiles pour un site internet, des plugins qui peuvent notamment permettre d’accepter les paiements en Bitcoin BTC, LTC, XRP, Dash, etc…
Lisez notre guide tutoriel sur les plugins wordress à installer pour accepter des paiements en Bitcoin BTC et autres crypto monnaies.
