Sign1 Malware
En hidtil ukendt malware-operation ved navn Sign1 har med succes infiltreret mere end 39.000 websteder inden for seks måneder, hvilket resulterer i, at besøgende bliver bombarderet med uønskede omdirigeringer og popup-reklamer. Gerningsmændene bag denne trussel implanterer malwaren i skræddersyede HTML-widgets og autentiske plugins, der findes på WordPress-platforme. I stedet for at ændre de ægte WordPress-filer, implementerer de de usikre Sign1-scripts til at udføre deres uhyggelige aktiviteter.
Indholdsfortegnelse
Sign1 Malware-kampagnen har kompromitteret næsten 40.000 websteder
Med udgangspunkt i tidligere WordPress-brud mener forskere, at Sign1 Malware-infiltrationen sandsynligvis anvender en dobbelt strategi, der involverer brute force-angreb og udnyttelse af plugin-sårbarheder til at bryde webstedets forsvar. Efter at have fået adgang, bruger gerningsmændene almindeligvis WordPress tilpassede HTML-widgets eller installerer det tilsyneladende legitime Simple Custom CSS og JS plugin for at indlejre ondsindet JavaScript-kode.
Undersøgelse af Sign1 har afsløret sin brug af tidsbaseret randomisering til generering af dynamiske URL'er, der ændres hvert 10. minut for at forhindre detektion. Domænerne registreres kort før brug i angreb, hvilket sikrer, at de forbliver fraværende fra blokeringslister. Disse URL'er tjener til at fremskaffe yderligere ondsindede scripts, der udføres i besøgendes browsere.
Oprindeligt hostet på Namecheap, overfaldsmændene migrerede operationer til HETZNER for hosting og Cloudflare for at skjule IP-adresser.
Sign1-malwaren fører ofre til tvivlsomme og usikre websteder
Sign1 Malware injicerer kode med XOR-kodning og bruger tilsyneladende tilfældige variabelnavne, hvilket komplicerer detektion af sikkerhedsværktøjer.
Denne ondsindede kode udfører tjek for specifikke henvisninger og cookies før aktivering, primært målrettet mod besøgende fra fremtrædende platforme såsom Google, Facebook, Yahoo og Instagram, mens de ligger i dvale i andre tilfælde. Desuden etablerer koden en cookie på den besøgendes browser, hvilket sikrer, at pop op-vinduet kun vises én gang pr. besøgende, hvilket reducerer sandsynligheden for, at rapporter bliver indsendt af den kompromitterede webstedsejer.
Efterfølgende omdirigerer scriptet besøgende til svigagtige websteder, såsom falske captchas, designet til at narre brugere til at aktivere browsermeddelelser. Disse meddelelser oversvømmer derefter operativsystemets skrivebord med uønskede reklamer.
Eksperter advarer om, at Sign1 har gennemgået en bemærkelsesværdig udvikling i løbet af de dokumenterede seks måneder af kampagnen, hvor infektioner topper ved udgivelsen af nye versioner af malwaren.
Sign1-malwaren er blevet sværere at stoppe
Sign1 Malware er blevet opdaget på over 39.000 websteder, mens den seneste angrebsbølge, som har været i gang siden januar 2024, hævdede 2.500 websteder. Kampagnen har over tid udviklet sig til at blive mere snigende og mere modstandsdygtig over for blokke, hvilket er en bekymrende udvikling.
For at beskytte deres websteder mod angrebskampagnerne rådes virksomheder til at bruge en stærk/lang administratoradgangskode og opdatere deres plugins til den nyeste version. Også unødvendige tilføjelser bør fjernes, som kan fungere som en potentiel angrebsoverflade.
