البرامج الضارة Sign1

نجحت عملية برمجية خبيثة غير معروفة سابقًا تسمى Sign1 في التسلل إلى أكثر من 39000 موقع ويب في غضون ستة أشهر، مما أدى إلى تعرض الزائرين لعمليات إعادة توجيه غير مرغوب فيها وإعلانات منبثقة. يقوم مرتكبو هذا التهديد بزرع البرامج الضارة في عناصر واجهة مستخدم HTML مصممة ومكونات إضافية أصلية موجودة على منصات WordPress. بدلاً من تغيير ملفات WordPress الأصلية، يقومون بنشر البرامج النصية Sign1 غير الآمنة لتنفيذ أنشطتهم الشائنة.

أدت حملة البرامج الضارة Sign1 إلى اختراق ما يقرب من 40000 موقع

بالاستناد إلى انتهاكات WordPress السابقة، يعتقد الباحثون أن تسلل Sign1 Malware يستخدم على الأرجح استراتيجية مزدوجة تتضمن هجمات القوة الغاشمة واستغلال نقاط الضعف في المكونات الإضافية لاختراق دفاعات موقع الويب. عند الدخول، يستخدم الجناة عادةً أدوات HTML المخصصة لـ WordPress أو يقومون بتثبيت البرنامج الإضافي Simple Custom CSS وJS الذي يبدو شرعيًا لتضمين تعليمات برمجية JavaScript ضارة.

كشف فحص Sign1 عن استخدامه للتوزيع العشوائي المستند إلى الوقت لإنشاء عناوين URL ديناميكية، وتغييرها كل 10 دقائق لإحباط الاكتشاف. ويتم تسجيل النطاقات قبل وقت قصير من استخدامها في الهجمات، مما يضمن بقائها غائبة عن قوائم الحظر. تعمل عناوين URL هذه على شراء نصوص برمجية ضارة إضافية يتم تنفيذها داخل متصفحات الزوار.

تم استضافتها في البداية على Namecheap، ثم قام المهاجمون بترحيل العمليات إلى HETZNER للاستضافة وCloudflare لإخفاء عنوان IP.

تأخذ البرمجيات الخبيثة Sign1 الضحايا إلى مواقع مشبوهة وغير آمنة

تقوم البرمجيات الخبيثة Sign1 بإدخال تعليمات برمجية تحتوي على تشفير XOR وتستخدم أسماء متغيرة عشوائية على ما يبدو، مما يؤدي إلى تعقيد عملية اكتشاف أدوات الأمان.

تجري هذه التعليمات البرمجية الخبيثة عمليات فحص لمحيلين وملفات تعريف ارتباط محددة قبل التنشيط، وتستهدف في المقام الأول الزوار من منصات بارزة مثل Google وFacebook وYahoo وInstagram، بينما تظل خاملة في حالات أخرى. علاوة على ذلك، يقوم الكود بإنشاء ملف تعريف ارتباط على متصفح الزائر، مما يضمن ظهور النافذة المنبثقة مرة واحدة فقط لكل زائر، وبالتالي تقليل احتمالية تقديم التقارير من قبل مالك موقع الويب المخترق.

بعد ذلك، يقوم البرنامج النصي بإعادة توجيه الزائرين إلى مواقع احتيالية، مثل رموز التحقق المزيفة، المصممة لخداع المستخدمين لتمكين إشعارات المتصفح. تقوم هذه الإشعارات بعد ذلك بإغراق سطح مكتب نظام التشغيل بإعلانات غير مرغوب فيها.

ويحذر الخبراء من أن Sign1 قد شهد تطورًا ملحوظًا على مدار الأشهر الستة الموثقة من الحملة، حيث بلغت الإصابات ذروتها عند إصدار إصدارات جديدة من البرامج الضارة.

أصبح إيقاف البرامج الضارة Sign1 أكثر صعوبة

تم اكتشاف البرنامج الضار Sign1 على أكثر من 39000 موقع ويب، بينما طالت موجة الهجوم الأخيرة، والتي بدأت منذ يناير 2024، 2500 موقع. لقد تطورت الحملة بمرور الوقت لتصبح أكثر سرية ومرونة في مواجهة الكتل، وهو تطور مثير للقلق.

ولحماية مواقعها من حملات الهجوم، تُنصح الشركات باستخدام كلمة مرور قوية/طويلة للمسؤول وتحديث المكونات الإضافية الخاصة بها إلى أحدث إصدار. ويجب أيضًا إزالة الوظائف الإضافية غير الضرورية، والتي يمكن أن تكون بمثابة سطح هجوم محتمل.