Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

WordPress malware campaign hides payloads in Steam profiles

1 minute de lecture

Mis à jour :

Détournement des profils Steam pour le contrôle de malwares WordPress

Une vaste campagne de cyberattaques a infecté environ 2 000 sites WordPress en utilisant les commentaires de profils Steam comme infrastructure de commande et de contrôle (C2). Les attaquants dissimulent des instructions malveillantes au sein de textes anodins à l’aide de caractères Unicode invisibles, leur permettant d’échapper aux outils de détection traditionnels.

Points clés :

  • Méthode de dissimulation : Le malware utilise six types de caractères Unicode invisibles (ex: U+200C, U+2064) pour encoder des données binaires dans des commentaires Steam.
  • Fonctionnement : Les sites infectés extraient ces données pour reconstruire une URL pointant vers un script JavaScript malveillant (hébergé sur hello-mywordl[.]info).
  • Backdoor : Le script injecté transforme le site en une porte dérobée capable d’exécuter du code PHP arbitraire si une requête POST spécifique incluant le cookie tEcaKKXEsb est soumise.
  • Persistance : Le malware utilise des techniques d’obfuscation (noms de fonctions aléatoires, utilisation d’API WordPress standards) pour se fondre dans le trafic légitime.

Vulnérabilités : Aucune CVE spécifique n’est mentionnée, car l’infection repose sur des vecteurs d’entrée classiques :

  • Identifiants administrateur ou FTP/SFTP compromis.
  • Thèmes ou plugins WordPress vulnérables.
  • Compromission via la chaîne d’approvisionnement (supply-chain).

Recommandations :

  • Restauration : Prioriser la restauration du site à partir d’une sauvegarde saine datant d’avant l’infection.
  • Nettoyage manuel : Si la restauration est impossible, un nettoyage complet est nécessaire ; toute persistance d’un composant peut permettre aux attaquants de réinstaller le malware.
  • Surveillance réseau : Bloquer ou surveiller les connexions sortantes vers Steam depuis le serveur WordPress.
  • Audit d’intégrité : Rechercher des injections JavaScript suspectes, des entrées de cache WordPress anormales (_transient_caption_) et surveiller la présence du cookie d’authentification tEcaKKXEsb dans les logs POST.

Source

Vous pourriez aimer