Sign1 Programari maliciós
Una operació de programari maliciós fins ara desconeguda anomenada Sign1 s'ha infiltrat amb èxit en més de 39.000 llocs web en sis mesos, cosa que ha provocat que els visitants siguin bombardejats amb redireccions no desitjades i anuncis emergents. Els autors d'aquesta amenaça implanten el programari maliciós en ginys HTML personalitzats i complements autèntics que es troben a les plataformes de WordPress. En lloc d'alterar els fitxers de WordPress genuïns, despleguen els scripts insegurs de Sign1 per executar les seves activitats nefastes.
Taula de continguts
La campanya de programari maliciós Sign1 ha compromès prop de 40.000 llocs
A partir d'incompliments de WordPress anteriors, els investigadors creuen que la infiltració de programari maliciós Sign1 probablement empra una estratègia dual que implica atacs de força bruta i l'explotació de vulnerabilitats dels connectors per trencar les defenses del lloc web. En obtenir l'entrada, els perpetradors solen utilitzar ginys HTML personalitzats de WordPress o instal·lar el complement CSS i JS personalitzat simple aparentment legítim per incrustar codi JavaScript malèvol.
L'examen de Sign1 ha revelat la seva utilització de l'aleatorització basada en el temps per generar URL dinàmics, que es modifiquen cada 10 minuts per frustrar la detecció. Els dominis es registren poc abans de la seva utilització en atacs, assegurant-se que romanguin absents de les llistes de bloqueig. Aquests URL serveixen per obtenir scripts maliciosos addicionals executats als navegadors dels visitants.
Inicialment allotjats a Namecheap, els agressors van migrar les operacions a HETZNER per allotjar i a Cloudflare per ocultar l'adreça IP.
El programari maliciós Sign1 porta les víctimes a llocs dubtosos i insegurs
El programari maliciós Sign1 injecta codi amb codificació XOR i utilitza noms de variables aparentment aleatoris, cosa que complica la detecció de les eines de seguretat.
Aquest codi malèvol realitza comprovacions de referències i galetes específiques abans de l'activació, dirigint-se principalment als visitants de plataformes destacades com Google, Facebook, Yahoo i Instagram, mentre que en altres casos es troba latent. A més, el codi estableix una galeta al navegador del visitant, assegurant que la finestra emergent només aparegui una vegada per visitant, reduint així la probabilitat que el propietari del lloc web compromès presenti informes.
Posteriorment, l'script redirigeix els visitants a llocs fraudulents, com ara captchas falsificats, dissenyats per enganyar els usuaris perquè habilitin les notificacions del navegador. Aquestes notificacions inunden l'escriptori del sistema operatiu amb anuncis no desitjats.
Els experts adverteixen que Sign1 ha experimentat una evolució notable al llarg dels sis mesos documentats de la campanya, amb infeccions que van assolir un màxim amb el llançament de noves versions del programari maliciós.
El programari maliciós Sign1 s’ha tornat més difícil d’aturar
El programari maliciós Sign1 s'ha detectat en més de 39.000 llocs web, mentre que l'última onada d'atacs, que s'està duent a terme des del gener de 2024, va reclamar 2.500 llocs. La campanya ha anat evolucionant amb el pas del temps per esdevenir més sigil i resistent als blocs, la qual cosa és una novetat preocupant.
Per protegir els seus llocs contra les campanyes d'atac, es recomana a les empreses que utilitzin una contrasenya d'administrador llarga i segura i actualitzin els seus connectors a la darrera versió. A més, s'han d'eliminar els complements innecessaris, que poden actuar com a possible superfície d'atac.
