Au cours des dernières semaines, plus d’un million de sites ont été exposés à deux graves atteintes à la sécurité de Drupal. Les pages devaient être mises à jour le plus rapidement possible pour courir moins de risques d’être attaquées, mais, comme toujours, toutes ne suivaient pas la recommandation.
Cela a vite fait place à la création de campagnes malveillantes visant à déployer des logiciels malveillants sur des sites web et à exploiter illégalement des cryptomorphes. Parmi les victimes de ces attaques figurent les sites web du Conseil national des relations du travail, de l’Université d’Alep e et même de Lenovo.
Selon BleepingComputer, deux attaques ont été identifiées la semaine dernière. L’une d’entre elles, découverte par Troy Mursch, a été réalisée par un groupe qui a obtenu l’accès à plusieurs sites réalisés à Drupal.
Les cybercriminels ont caché un fichier de Coinhive, un script responsable de l’extraction d’altcoin Minero à l’aide de l’unité centrale du visiteur. Au moins 350 sites ont été infectés grâce à cette stratégie.
Mursch a mis à disposition un tableur avec les sites concernés, y compris les pages des entreprises et des agences en France, telles que D-Link, Estapar et Universidade Federal Rural de Pernambuco. Jusqu’à la publication de ce billet, les fichiers responsables de l’exploitation minière étaient toujours hébergés sur les sites.
Une autre attaque avait déjà été découverte par Imperva, une société de cybersécurité. Il a été nommé “Kitty” parce qu’il a caché le fichier “me0w.js”. sur les sites web ; dans ce cas, les cybercriminels n’ont pas utilisé Coinhive, mais un service d’exploitation minière légitime offert par Monero lui-même. Le nombre de sites touchés par cette attaque n’a pas été révélé.
