Joomla ! est l’une des plates-formes de gestion des contenus les plus populaires, utilisée par des centaines de milliers d’entreprises dans le monde entier. Au fil des années, de nombreuses vulnérabilités ont été détectées dans le produit, telles que l’escalade des privilèges XSS dans le noyau Joomla ! (CVE-2017-7985) et l’exécution de commandes à distance par injection d’objets dans Joomla ! (CVE-2015-8562). Au cours des deux années passées, le nombre de vulnérabilités connues dans Joomla ! a considérablement augmenté.

Plus récemment, cependant, Check Point Research a découvert une nouvelle campagne menée par un pirate connu, qui exploite une nouvelle vulnérabilité dans JMail, le service de messagerie de Joomla !, pour monétiser son attaque.

Jmail est le service de messagerie de Joomla !, permettant à ses utilisateurs d’envoyer des emails via la plate-forme. Bien que le service ne soit destiné qu’à l’envoi d’emails, sans mécanismes de sécurité appropriés, il peut être détourné pour envoyer des emails de phishing et de spam, et peut même servir de porte dérobée au sein de la plate-forme. En implémentant de simples instructions dans l’en-tête User-Agent des requêtes HTTP, il est en effet possible de manipuler la plate-forme et remplacer le service Jmail existant.

Le pirate Alarg53 en est de toute évidence conscient et exploite actuellement ces vulnérabilités pour mener une campagne de spam lucrative. Ce n’est pas la première fois qu’Alarg53 est impliqué dans de telles activités. En 2017, il a attiré l’attention du monde entier en piratant des serveurs de l’Université de Stanford à des fins similaires via une vulnérabilité WordPress. Ce pirate informatique connu a réussi à pirater plus de 15 000 sites. Fort de la réussite de ses attaques, il les a désormais transformées afin d’implémenter une infrastructure de porte de service et de phishing à grande échelle.