Sign1 Malware
Uma operação de malware anteriormente desconhecida, chamada Sign1, se infiltrou com sucesso em mais de 39.000 sites em seis meses, resultando em visitantes sendo bombardeados com redirecionamentos indesejados e anúncios pop-up. Os perpetradores desta ameaça implantam o malware em widgets HTML personalizados e plug-ins autênticos encontrados em plataformas WordPress. Em vez de alterar os arquivos genuínos do WordPress, eles implantam os scripts Sign1 inseguros para executar suas atividades nefastas.
Índice
A Campanha do Sign1 Malware Comprometeu quase 40.000 Sites
Com base em violações anteriores do WordPress, os pesquisadores acreditam que a infiltração do Sign1 Malware provavelmente emprega uma estratégia dupla envolvendo ataques de força bruta e a exploração de vulnerabilidades de plugins para violar as defesas do site. Ao obter acesso, os criminosos geralmente utilizam widgets HTML personalizados do WordPress ou instalam o plugin Simple Custom CSS e JS aparentemente legítimo para incorporar código JavaScript malévolo.
O exame do Sign1 revelou seu uso de randomização baseada em tempo para gerar URLs dinâmicos, alterando a cada 10 minutos para impedir a detecção. Os domínios são registrados pouco antes de serem utilizados em ataques, garantindo que permaneçam ausentes das listas de bloqueio. Esses URLs servem para obter scripts maliciosos adicionais executados nos navegadores dos visitantes.
Hospedado inicialmente no Namecheap, os agressores migraram as operações para HETZNER para hospedagem e Cloudflare para ocultação de endereço IP.
O Sign1 Malware Leva as Vítimas a Sites Duvidosos e Inseguros
O Sign1 Malware injeta código com codificação XOR e utiliza nomes de variáveis aparentemente aleatórios, complicando assim a detecção de ferramentas de segurança.
Este código malévolo realiza verificações de referenciadores e cookies específicos antes da ativação, visando principalmente visitantes de plataformas proeminentes como Google, Facebook, Yahoo e Instagram, enquanto permanece inativo em outros casos. Além disso, o código estabelece um cookie no navegador do visitante, garantindo que o pop-up apareça apenas uma vez por visitante, reduzindo assim a probabilidade de denúncias pelo proprietário do site comprometido.
Posteriormente, o script redireciona os visitantes para sites fraudulentos, como captchas falsificados, projetados para enganar os usuários e fazê-los ativar notificações do navegador. Essas notificações inundam a área de trabalho do sistema operacional com anúncios indesejados.
Os especialistas alertam que o Sign1 passou por uma evolução notável ao longo dos seis meses documentados da campanha, com o pico de infecções após o lançamento de novas versões do malware.
O Sign1 Malware Tornou-se Mais Difícil de ser Parado
O Sign1Malware foi detectado em mais de 39.000 sites, enquanto a última onda de ataque, que está em andamento desde janeiro de 2024, reivindicou 2.500 sites. A campanha evoluiu ao longo do tempo para se tornar mais furtiva e mais resistente aos bloqueios, o que é um desenvolvimento preocupante.
Para proteger seus sites contra campanhas de ataque, as empresas são aconselhadas a usar uma senha de administrador forte/longa e atualizar seus plug-ins para a versão mais recente. Além disso, complementos desnecessários devem ser removidos, o que pode atuar como uma superfície de ataque potencial.
