Le voleur de mots de passe multifonctionnel s’introduit de force sur des sites WordPress non sécurisés et vole les identifiants d’administrateurs.
Les chercheurs d’Avast ont annoncé cette semaine que l’entreprise avait protégé plus de 253 000 utilisateurs contre Clipsa, un voleur de mots de passe qui vole les identifiants d’administrateur des sites WordPress non sécurisés.
Une fois installé sur un appareil infecté, Clipsa peut effectuer plusieurs actions, comme voler un transfert de cryptomonnaie ou installer un mineur de cryptomonnaie. Il utilise aussi les ordinateurs infectés pour naviguer sur Internet et rechercher des sites WordPress vulnérables sur lesquels il force alors l’entrée.
« Clipsa est un voleur de mots de passe inhabituel qui dispose d'un large éventail de fonctionnalités. Au lieu de se focaliser sur les mots de passe et les portefeuilles de crypto-monnaies présents sur l'ordinateur de la victime, Clipsa met le PC au service des cybercriminels en lui faisant chercher des sites WordPress vulnérables et dérober leurs informations d'identification. Plus il y a d’appareils infectés, plus Clipsa augmente sa puissance de calcul », a déclaré Jan Rubin, chercheur en logiciels malveillants chez Avast.
Cette campagne est particulièrement répandue en Inde, où Avast a défendu plus de 28 000 utilisateurs en bloquant plus de 43 000 tentatives d’infection par Clipsa. Le laboratoire de veille contre les menaces d’Avast a aussi observé des taux d'infection plus élevés aux Philippines et au Brésil où l’entreprise a respectivement protégé 15 000 et 13 000 utilisateurs. Depuis le 1er août 2018, Avast a protégé plus de 253 000 utilisateurs plus de 360 000 fois.
Quand un appareil est infecté par Clipsa, il fonctionne plus lentement que d'habitude, en raison des actions malveillantes qui se déroulent en arrière-plan : minage de cryptomonnaie ou recherche de sites WordPress vulnérables.
Avast Antivirus (ainsi que Avast Antivirus Gratuit) détecte et protège les ordinateurs contre les logiciels malveillants comme Clipsa. D’autre part, il faut se protéger en ne téléchargeant que les programmes d’installation et les logiciels de sites Web réputés et fiables. Il faut également s'assurer que les installateurs sont signés numériquement pour vérifier leur origine et leur légitimité. Enfin, les administrateurs de sites WordPress doivent toujours utiliser la dernière version de WordPress, suivre les paramètres de sécurité recommandés et utiliser des mots de passe uniques et complexes pour protéger leurs comptes.
Une analyse complète de Clipsa est disponible sur le blog Avast Decoded.