Décidémment, les plugins et thèmes builders de WordPress n’ont pas bonne presse. Une cyberattaque de grande envergure a récemment été mise au jour, révélant comment des pirates ont exploité une faille dans un plugin WordPress, pour injecter du code malveillant dans des milliers de sites. Ce code malveillant redirige les utilisateurs vers des sites frauduleux, mettant ainsi en danger leurs données personnelles. Cette attaque souligne l’importance pour les webmasters de rester vigilants et de mettre à jour leurs systèmes (thèmes et plugins) régulièrement.
Une vulnérabilité critique dans Popup Builder
La brèche de sécurité, découverte au sein de Popup Builder (version inférieure à 4.2.3), un plugin permettant de créer facilement des popups adaptés aux mobiles, a été identifiée pour la première fois en novembre 2023. Bien que corrigée rapidement, les versions antérieures du plugin restent vulnérables, posant un risque significatif pour ceux qui n’ont pas encore effectué la mise à jour nécessaire.
Les pirates ont profité de cette opportunité pour cibler des sites n’ayant pas mis à jour leur plugin, permettant l’injection de code malveillant, activé par des actions spécifiques comme l’ouverture ou la fermeture d’une fenêtre. L’objectif ? Rediriger les utilisateurs vers des sites web frauduleux, augmentant le risque de vol de données personnelles ou d’escroqueries financières.
Des attaques répétées exploitant la même faille
Cette récente cyberattaque n’est pas un cas isolé. Entre décembre 2023 et janvier 2024, des criminels avaient déjà utilisé cette même vulnérabilité de Popup Builder pour diffuser le malware Balada Injector sur plus de 6 700 sites WordPress. Ces attaques font partie d’une campagne malveillante débutée en 2017, touchant plus de 17 000 sites au total, et visant à rediriger les utilisateurs vers des pages imitant des services légitimes, dans le but de commettre des fraudes.
Le malware et les sites frauduleux associés à ces attaques sont conçus pour être convaincants, imitant parfois l’interface d’une loterie ou d’un support client, dans le but unique de voler des données ou d’extorquer de l’argent aux victimes.
Recommandations et mesures de protection
Face à cette menace, il est important pour les utilisateurs de Popup Builder de prendre des mesures immédiates en installant la dernière mise à jour du plugin, la version 4.2.7. Malgré l’alerte et la disponibilité d’une correction, plus de 80 000 sites utilisent encore une version obsolète du plugin, les exposant à de potentielles attaques. Les experts en cybersécurité insistent sur l’importance de maintenir tous les éléments d’un site web, plugins inclus, à jour pour se protéger contre les cyberattaques.