G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Le code injecté dans le cas présent est <SCRIPT id="googleblogcontainer"> et il est inséré à la fin du code source de la page Web. Ce script est détecté par les solutions G Data sous le nom JS: Downloader-AZF [Trj].

Ce JavaScript inséré est un script obscurcit qui, une fois éclaircit ressemble à ceci :

Le "L" manquant dans googlebogcounter est, très probablement une typo volontaire faite par les attaquants.

Quel risque pour les visiteurs ?
L'IP de l'hôte, 91. [SUPPRIMÉ], n'est actuellement pas disponible, ce qui ne rend pas pour l’instant possible l’analyse du fichier counter.php. Mais les attaquants peuvent ajuster le fichier counter.php à leurs besoins et y inclure des commandes pour télécharger et installer des logiciels malveillants ou rediriger les visiteurs vers des sites malveillants ou toute autre chose.

L’adresse IP du serveur est/était située en Russie. Cette adresse IP a déjà été impliquée en 2011 dans l'attaque dite TimThumb. TimThumb est un plug-in pour la gestion de contenu Wordpress qui renfermait une vulnérabilité zero-day qui avait été exploitée.

Conseils aux administrateurs Wordpress
A l’heure actuelle il n’est pas possible de définir si la cause de cette injection est liée à une vulnérabilité de l’un des plug-ins Wordpress, le CMS Wordpress lui-même ou une injection par hack de mot de passe (attaque automatique). Mais quelques manipulations peuvent permettre de limiter les risques d’infection.
- Mettre à jour le CMS avec la version la plus récente.
- Mettre à jour tous les plug-ins utilisés dans ce CMS et supprimer les plug-ins non utilisés.
- Changer le mot de passe du CMS.
- Rechercher le script mentionné et le supprimer de toutes les pages infectées.