Sommaire
Les attaques évoluent vers des chaînes sophistiquées. Les pirates s’appuient sur le fonctionnement interne des serveurs, du noyau WordPress et des mécanismes de persistance pour diffuser du spam casino.
GBHackers décrit une hausse des attaques liées au spam casino. Les pirates poussent désormais des techniques avancées qui touchent le serveur, le code WordPress et la structure même des sites.
Détournement du serveur avant WordPress
Les pirates créent des répertoires qui reprennent la structure du site. Le serveur Apache ou Nginx lit ces fichiers avant le routeur WordPress. Une simple présence d’un /about/index.html modifie l’affichage réel d’une page. L’attaquant remplace ainsi un contenu légitime par un texte “Slot Gacor” sans modifier la base.
Cette méthode contourne les extensions de sécurité. Elles surveillent le CMS, pas les répertoires créés hors du flux de requêtes WordPress. L’injection exploite donc l’ordre naturel de résolution du serveur. Le moteur de recherche indexe alors un faux contenu servi en priorité.
Persistance dans le code et la base
Le code malveillant s’insère dans plusieurs zones du site. Thèmes, plugins, mu-plugins ou fonctions custom, fichiers PHP aux noms anodins. L’attaquant copie le même payload dans divers endroits.
Le code appelle des marqueurs dans la base. On voit souvent des options comme wp_footers_logic ou d’autres clés inventées pour ce rôle. Leur présence sert de déclencheur. Si l’option disparaît, le script réinjecte une copie du malware.
Les pirates déposent aussi des fichiers cachés dans wp-content/cache ou uploads. Des extensions comme .dat, .tmp ou .ico servent de conteneurs. Le CMS ignore ces fichiers. Les scanners automatiques passent à côté car ils cherchent des signatures PHP ou JS classiques.
Certains scripts contactent également un domaine contrôlé par les attaquants. Le malware télécharge une nouvelle version du spam dès qu’une suppression survient sur le serveur. La persistance repose donc sur un double ancrage. Le disque et une source externe.
Cloaking et segmentation géographique
Les pirates filtrent la sortie en fonction du user-agent, de l’adresse IP ou du référent. Un moteur reçoit la version spam. Un humain reçoit parfois la page normale. Cette approche retarde la détection par les éditeurs.
Les textes se segmentent par zone. Le contenu se charge pour l’Indonésie, la Thaïlande ou la Turquie avec vocabulaire local et mots-clefs régionaux. Les variations se trouvent souvent dans des fichiers JSON ou dans des blocs encodés en base64. Les pirates insèrent alors ces blocs dans des includes discrets.
La chaîne complète forme une architecture distribuée. Injection de fichiers statiques, nœuds de persistance, recharge à distance, cloaking sélectif et ciblage pays. Cette structure demande une purge complète. Le simple nettoyage d’un répertoire ne suffit jamais.
La réponse passe par une analyse serveur, une inspection des hooks WordPress, un audit du PHP, un contrôle du disque et une vérification des requêtes sortantes. Un hébergement verrouillé avec règles strictes bloque aussi une partie des vecteurs.
