Identifiée par les experts en sécurité de Sucuri, cette cyberattaque se distingue par sa furtivité et sa résilience. Le mode opératoire des attaquants consiste à infiltrer les serveurs pour y déposer deux fichiers malveillants conçus pour fonctionner de concert. L'objectif n'est pas seulement de pénétrer le système, mais de s'y installer durablement sans jamais être repéré par les propriétaires des sites web.
Comment ce malware opère-t-il si discrètement ?
Les administrateurs de sites WordPress sont de nouveau dans le viseur des pirates à travers une campagne d'une redoutable efficacité. Le premier composant de l'attaque est un faux plugin, baptisé "DebugMaster Pro". Pour tromper la vigilance, il est présenté avec toutes les caractéristiques d'un outil légitime : un numéro de version, une description soignée et même un lien vers un dépôt de code fictif. Son véritable objectif est cependant tout autre.
Une fois activé, son code, rendu volontairement illisible par de multiples couches de masquage, crée secrètement un nouvel utilisateur avec les privilèges d'administrateur. Pour parfaire son invisibilité, le plugin se retire ensuite lui-même de la liste des extensions visibles dans le tableau de bord de WordPress, ne laissant aucune trace apparente de son existence.
Qu'est-ce qui rend cette attaque si difficile à contrer ?
Toute la force de ce logiciel malveillant repose sur un stratagème à double détente, le rendant particulièrement persistant. En parallèle du faux plugin, les pirates déploient un second fichier, souvent nommé `wp-user.php`, à la racine du site. Ce script agit comme un mécanisme de sécurité implacable pour les attaquants. Sa seule mission est de garantir en permanence l'existence d'un compte administrateur spécifique, généralement nommé "help".
Si un administrateur légitime découvre ce compte suspect et le supprime, le script le recrée automatiquement en quelques instants. Cette porte dérobée agressive rend toute tentative de nettoyage manuel totalement vaine tant que le fichier source n'a pas été identifié et supprimé. C'est une véritable hydre numérique : une tête coupée est aussitôt remplacée.
Quels sont les risques concrets pour les visiteurs et administrateurs ?
Une fois le contrôle total du site acquis, les cybercriminels disposent d'un large éventail d'actions malveillantes. L'une des techniques les plus courantes consiste à injecter des scripts malveillants dans les pages du site. De manière très astucieuse, ce code ne s'active que pour les visiteurs classiques et reste dormant si la visite provient d'un administrateur connecté. Cela permet aux pirates de rester sous les radars pendant des mois, voire des années.
Les conséquences pour les visiteurs sont multiples : redirection vers des sites de phishing pour voler des données personnelles et bancaires, affichage de publicités indésirables ou encore utilisation du serveur pour d'autres activités criminelles. Les propriétaires de sites, quant à eux, risquent une perte de confiance de leurs utilisateurs, un mauvais référencement sur les moteurs de recherche et, bien sûr, le vol des informations sensibles stockées sur leur plateforme.
