Sign1 Malware
Dříve neznámá malwarová operace s názvem Sign1 úspěšně infiltrovala během šesti měsíců více než 39 000 webových stránek, což vedlo k bombardování návštěvníků nechtěnými přesměrováním a vyskakovacími reklamami. Pachatelé této hrozby implantují malware do přizpůsobených HTML widgetů a autentických pluginů nalezených na platformách WordPress. Místo toho, aby měnili originální soubory WordPress, nasazují nebezpečné skripty Sign1 k provádění svých hanebných činností.
Obsah
Kampaň Sign1 Malware kompromitovala téměř 40 000 stránek
Na základě dřívějších porušení WordPress se výzkumníci domnívají, že infiltrace Sign1 Malware pravděpodobně využívá dvojí strategii zahrnující útoky hrubou silou a zneužívání zranitelností pluginů k narušení ochrany webových stránek. Po získání vstupu pachatelé běžně využívají vlastní widgety HTML WordPress nebo si nainstalují zdánlivě legitimní plugin Simple Custom CSS a JS pro vložení škodlivého kódu JavaScript.
Společnost Examination of Sign1 odhalila své využití časové randomizace pro generování dynamických adres URL, které se každých 10 minut mění, aby zmařily detekci. Domény jsou registrovány krátce před použitím při útocích, což zajišťuje, že nebudou chybět na seznamech blokovaných. Tyto adresy URL slouží k získávání dalších škodlivých skriptů spouštěných v prohlížečích návštěvníků.
Původně hostované na Namecheap, útočníci migrovali operace na HETZNER pro hosting a Cloudflare pro skrytí IP adres.
Malware Sign1 zavádí oběti na pochybné a nebezpečné stránky
Sign1 Malware vkládá kód s kódováním XOR a využívá zdánlivě náhodné názvy proměnných, čímž komplikuje detekci pro bezpečnostní nástroje.
Tento zlovolný kód před aktivací kontroluje konkrétní referrery a soubory cookie, primárně se zaměřuje na návštěvníky z prominentních platforem, jako je Google, Facebook, Yahoo a Instagram, zatímco v jiných případech leží nečinně. Kromě toho kód vytvoří v prohlížeči návštěvníka soubor cookie, který zajistí, že se vyskakovací okno objeví pouze jednou na návštěvníka, čímž se sníží pravděpodobnost, že vlastník napadeného webu nahlásí hlášení.
Následně skript přesměruje návštěvníky na podvodné stránky, jako jsou padělané captcha, které mají uživatele oklamat, aby povolili oznámení prohlížeče. Tato upozornění pak zaplavují plochu operačního systému nechtěnými reklamami.
Odborníci upozorňují, že Sign1 prošel během zdokumentovaných šesti měsíců kampaně pozoruhodným vývojem, přičemž infekce vrcholí po vydání nových verzí malwaru.
Malware Sign1 je čím dál obtížnější zastavit
Malware Sign1 byl detekován na více než 39 000 webech, zatímco poslední vlna útoků, která probíhá od ledna 2024, si vyžádala 2 500 webů. Kampaň se postupem času vyvíjela, aby se stala nenápadnější a odolnější vůči blokům, což je znepokojivý vývoj.
Pro ochranu svých stránek před útočnými kampaněmi se společnostem doporučuje používat silné/dlouhé administrátorské heslo a aktualizovat své pluginy na nejnovější verzi. Také by měly být odstraněny zbytečné doplňky, které mohou působit jako potenciální útočná plocha.
