Les pirates aiment les domaines expirés !

Parfois, les propriétaires de sites Web ne veulent plus posséder un nom de domaine et le laisser expirer sans tenter de le renouveler.

Cela se produit tout le temps et est tout à fait normal, mais il est important de se rappeler que les attaquants surveillent régulièrement les expirations de domaine et peuvent cibler certains domaines qui répondent à des critères spécifiques.

Les domaines des fournisseurs peuvent être une porte dérobée facile

Un domaine de fournisseur (fournisseur) est défini comme un site Web utilisé pour héberger et télécharger des actifs Javascript tiers, tels qu’un widget de chat en direct ou même des publicités. Cela inclut également les domaines utilisés pour charger des sources Javascript pour des plugins WordPress spécifiques.

Pour une raison quelconque, un fournisseur peut permettre à son enregistrement de domaine d’expirer, ce qui signifie qu’il peut devenir disponible pour un attaquant (ou n’importe qui d’autre) pour l’enregistrer.

Les attaquants effectuent généralement des reconnaissances pour déterminer si un domaine est précieux pour eux. Par exemple, si le domaine expiré est utilisé dans un plug-in pour charger une ressource Javascript, cela en ferait une cible parfaite.

Nous avons récemment trouvé ce scénario exact avec l’éditeur de site Web de plugins WordPress maintenant disparu et ses trois éléments de domaine[.]com, qui nous a été gentiment signalé par un propriétaire de site Web qui a rencontré une activité suspecte lors de son utilisation.

Page du plug-in de destination de domaine expiré

La page de destination de tidioelementi[.]com en 2015, alors qu’il s’agissait encore d’un site Web de plugins actif.

La stratégie de l’attaquant est basée sur le fait que certains sites Web peuvent toujours avoir le plug-in installé et activé et continuer à charger des ressources à partir du domaine expiré.

Une fois que l’attaquant a enregistré le domaine, il peut alors « prendre le contrôle » en remplaçant toute ressource Javascript légitime par quelque chose de malveillant.

Le plugin ne saura pas que le domaine a expiré ou que la ressource Javascript est en cours de chargement depuis le serveur d’un attaquant – la seule information dont il dispose est l’URL de la ressource Javascript, qu’il essaie d’inclure partout où le plugin est chargé – dans.

Le domaine javascript du plugin échangé a expiré

Le projet a été abandonné et n’est plus disponible au téléchargement dans le référentiel WordPress. Cependant, les attaquants ont pu exploiter le domaine expiré pour charger du contenu arbitraire, ce qui souligne l’importance de garder tous les logiciels à jour et de supprimer tous les anciens plug-ins non utilisés activement dans votre environnement. Un autre conseil important pour renforcer votre site Web est de n’utiliser que des ressources provenant de sources officielles et dignes de confiance.