Une liste de plusieurs centaines de sites web infiltrés par des hackers malveillants a été découverte par ZATAZ. Des sites français, belges, suisses, canadiens et luxembourgeois sont concernés.
Lors d’une recherche interne, le Service Veille de ZATAZ a mis la main sur un fichier texte pas comme les autres, diffusé par un pirate informatique à ses contacts. Ce fichier contient plusieurs centaines d’adresses web, incluant des boutiques, des associations, des blogs, etc. L’originalité de cet annuaire ? Il recense des sites infiltrés par un hacker malveillant, qui y a installé une porte dérobée (backdoor), un shell, lui permettant d’agir sur les fichiers et bases de données internes du site. Il peut également orchestrer des cyberattaques en utilisant l’IP, le stockage et les ressources des sites infiltrés.
En analysant ce fichier, le Service Veille a repéré deux de ses abonnés parmi les victimes. Le fichier cible, par exemple, six sites canadiens, 18 belges, 91 français, et 395 sites en .com. Chaque URL diffusée par le pirate permet d’accéder à ces portes dérobées. Mais pourquoi partager un tel « cadeau » malveillant ? Il s’agit d’un échantillon destiné à attirer d’autres pirates, prêts à acheter ses services et les accès qu’il détient à plusieurs dizaines de milliers de victimes.
Il est important de noter que ce type de malveillance peut être contré relativement facilement. Il suffit de changer régulièrement les mots de passe (blog, site, FTP), d’utiliser la double authentification, de mettre à jour les plugins et CMS, et d’installer un outil de contrôle des installations de fichiers, entre autres mesures.
Voici quelques noms de fichiers .php utilisés par le pirate pour prendre le contrôle des espaces infiltrés : flower, class-json-ajax-session, class-wp-font-collection, html, yellow, about, admin-ajax, et niil (personnage de jeu de rôle).
Le Protocole d’Alerte ZATAZ a notifié les administrateurs des espaces infiltrés afin qu’il puisse agir rapidement, avant qu’il ne soit trop tard.