Sign1 Зловреден софтуер
Неизвестна досега операция за злонамерен софтуер, наречена Sign1, успешно е проникнала в повече от 39 000 уебсайта в рамките на шест месеца, в резултат на което посетителите са бомбардирани с нежелани пренасочвания и изскачащи реклами. Извършителите на тази заплаха имплантират зловреден софтуер в персонализирани HTML уиджети и автентични плъгини, намиращи се в платформите на WordPress. Вместо да променят оригиналните файлове на WordPress, те внедряват опасните скриптове Sign1, за да изпълнят престъпните си дейности.
Съдържание
Кампанията за злонамерен софтуер Sign1 е компрометирала близо 40 000 сайта
Въз основа на минали пробиви в WordPress, изследователите смятат, че проникването на зловреден софтуер Sign1 вероятно използва двойна стратегия, включваща атаки с груба сила и използване на уязвимости на плъгини за пробиване на защитите на уебсайтове. След като влязат в системата, извършителите обикновено използват персонализирани HTML уиджети на WordPress или инсталират привидно легитимния Simple Custom CSS и JS плъгин за вграждане на злонамерен JavaScript код.
Изследването на Sign1 разкри използването на базирана на времето рандомизация за генериране на динамични URL адреси, променящи се на всеки 10 минути, за да осуетят откриването. Домейните се регистрират малко преди да бъдат използвани при атаки, което гарантира, че остават отсъстващи от списъците за блокиране. Тези URL адреси служат за осигуряване на допълнителни злонамерени скриптове, изпълнявани в браузърите на посетителите.
Първоначално хоствани на Namecheap, нападателите мигрираха операциите към HETZNER за хостинг и Cloudflare за прикриване на IP адреси.
Зловреден софтуер Sign1 отвежда жертвите до съмнителни и опасни сайтове
Зловреден софтуер Sign1 инжектира код с кодиране XOR и използва привидно случайни имена на променливи, като по този начин усложнява откриването за инструменти за сигурност.
Този злонамерен код извършва проверки за конкретни препоръчани потребители и бисквитки преди активиране, като основно се насочва към посетители от видни платформи като Google, Facebook, Yahoo и Instagram, докато в други случаи остава неактивен. Освен това кодът създава бисквитка в браузъра на посетителя, като гарантира, че изскачащият прозорец се появява само веднъж на посетител, като по този начин намалява вероятността от подаване на доклади от собственика на компрометирания уебсайт.
Впоследствие скриптът пренасочва посетителите към измамни сайтове, като например фалшиви captcha, предназначени да заблудят потребителите да активират известия в браузъра. След това тези известия заливат работния плот на операционната система с нежелани реклами.
Експертите предупреждават, че Sign1 е претърпял забележителна еволюция през документираните шест месеца на кампанията, като инфекциите достигат пика си при пускането на нови версии на зловреден софтуер.
Зловреден софтуер Sign1 стана по-труден за спиране
Зловреден софтуер Sign1 е открит на над 39 000 уебсайта, докато последната вълна от атаки, която е в ход от януари 2024 г., е отнела 2500 сайта. Кампанията еволюира с времето, за да стане по-невидима и по-устойчива на блокове, което е тревожно развитие.
За да защитят своите сайтове от кампаниите за атаки, компаниите се съветват да използват силна/дълга администраторска парола и да актуализират своите добавки до най-новата версия. Също така трябва да се премахнат ненужните добавки, които могат да действат като потенциална повърхност за атака.
