Une backdoor WordPress utilise les codes sources Pastebin !

Depuis une dizaine d'années, le service en ligne Pastebin est utilisé par les développeurs pour partager des codes sources, mais également par les hackers pour partager des codes sources voir même des dumps de données...

Les hackers utilisent le service Pastebin pour distribuer du code malicieux notamment pour la création de backdoor.

D'après Denis Sinegubko, chercheur spécialisé dans les malwares chez Sucuri, les hackers exploitent en ce moment les faiblesses d'une ancienne version de RevSlider, un plug-in payant et populaire pour WordPress. D'ailleurs, ce plug-in est souvent packagé dans certains thèmes WordPress qui l'intègre directement.

Les hackers cherchent à vérifier en premier lieu la présence du plug-in RevSlider sur le site ciblé, et lorsqu'il est découvert, ils exploitent une vulnérabilité dans RevSlider et tentent d'envoyer la backdoor sur le site.

Denis Sinegubko précise que les hackers utilisent Pastebin pour faire ce qu'il est censé faire : partager du code, sauf que là il s'agit d'un code malicieux, ce qui pose problème... D'autant plus que c'est dans le cadre d'activité illégale.

Une variable nommée $temp encodée en Base64 est ajoutée au fichier wp-links-opml.php, et que du code est ensuite directement téléchargé depuis le site Pastebin.com. Un paramètre wp_nonce_once est également utilisé.

En fait, une fois la backdoor en place elle permet de télécharger et d'exécuter n'importe quel morceau de code hébergé sur Pastebin. Cela est fait en passant un paramètre en appelant le fichier PHP modifié, à savoir wp-links-opml.php.

Il ne faut pas croire que c'est la première fois que les hackers s'appuient sur Pastebin, Sucuri note d'ailleurs dans son article 5 grandes attaques liées à Pastebin sur les 5 dernières années.

Si vous souhaitez plus de détails : Sucuri - Pastebin - RevSlider