BabaYaga: se soucie de vos mises à jour

Des chercheurs en sécurité ont repéré un malware ciblant des sites WordPress qui inclut des techniques d’autoprotection assez astucieuses:

• La suppression de logiciels malveillants concurrents ( d’autres malwares ont déjà montré un comportement similaire)
• La mise à jour du site de la victime

Ce malware n’est pas nouveau, mais les récentes mises à jour ont transformé cet ancien joueur discret en un ennemi considérable pour les admins de sites WordPress.

Ce logiciel malveillant génère du spam afin de rediriger le trafic SEO vers des pages cachées avec des mot-clés insignifiants sur les sites compromis. Ces pages sont ensuite utilisées pour rediriger les utilisateurs vers des liens marketing affiliés, où si l’utilisateur achète des produits annoncés, les pirates font également un bénéfice.

Revenons maintenant aux astuces utilisées par ce malware. L’idée derrière la suppression des concurrents, est que certains de ces logiciels malveillants pourraient être mal codés, entraînant des erreurs de chargement de la page qui conduisent indirectement à des situations qui pourraient empêcher BabaYaga de fonctionner.

Mais aussi, tout site avec des erreurs attire généralement l’attention de son propriétaire, qui dans ses efforts pour résoudre les problèmes pourrait également découvrir les fichiers et la présence de BabaYaga.

Pour la même raison, le logiciel malveillant veut garder le site de la victime à jour, de sorte qu’il fonctionne toujours correctement, sans bugs. Il prend même la peine de gèrer la création et le nettoyage des fichiers de backup, en cas d’échec d’une mise à niveau.

Réf: https://www.wordfence.com/blog/2018/06/babayaga-wordpress-malware/