Sign1 Malware
Μια προηγουμένως άγνωστη λειτουργία κακόβουλου λογισμικού με το όνομα Sign1 έχει διεισδύσει με επιτυχία σε περισσότερους από 39.000 ιστότοπους μέσα σε έξι μήνες, με αποτέλεσμα οι επισκέπτες να βομβαρδίζονται με ανεπιθύμητες ανακατευθύνσεις και αναδυόμενες διαφημίσεις. Οι δράστες αυτής της απειλής εμφυτεύουν το κακόβουλο λογισμικό σε προσαρμοσμένα widget HTML και αυθεντικά πρόσθετα που βρίσκονται σε πλατφόρμες WordPress. Αντί να αλλάξουν τα γνήσια αρχεία του WordPress, αναπτύσσουν τα μη ασφαλή σενάρια Sign1 για να εκτελέσουν τις κακόβουλες δραστηριότητές τους.
Πίνακας περιεχομένων
Η καμπάνια κακόβουλου λογισμικού Sign1 έχει θέσει σε κίνδυνο σχεδόν 40.000 ιστότοπους
Βασιζόμενοι σε προηγούμενες παραβιάσεις του WordPress, οι ερευνητές πιστεύουν ότι η διείσδυση κακόβουλου λογισμικού Sign1 πιθανότατα χρησιμοποιεί μια διπλή στρατηγική που περιλαμβάνει επιθέσεις ωμής βίας και την εκμετάλλευση τρωτών σημείων προσθηκών για την παραβίαση των άμυνες ιστοτόπων. Μόλις εισέλθουν, οι δράστες χρησιμοποιούν συνήθως προσαρμοσμένα γραφικά στοιχεία HTML του WordPress ή εγκαθιστούν το φαινομενικά νόμιμο πρόσθετο Simple Custom CSS και JS για να ενσωματώσουν κακόβουλο κώδικα JavaScript.
Η Examination of Sign1 αποκάλυψε τη χρήση της τυχαιοποίησης βάσει χρόνου για τη δημιουργία δυναμικών διευθύνσεων URL, που αλλάζουν κάθε 10 λεπτά για να αποτρέψουν την ανίχνευση. Οι τομείς καταχωρούνται λίγο πριν από τη χρήση τους σε επιθέσεις, διασφαλίζοντας ότι παραμένουν απόντες από λίστες αποκλεισμού. Αυτές οι διευθύνσεις URL χρησιμεύουν για την απόκτηση πρόσθετων κακόβουλων σεναρίων που εκτελούνται στα προγράμματα περιήγησης των επισκεπτών.
Αρχικά φιλοξενήθηκε στο Namecheap, οι επιτιθέμενοι μετέφεραν λειτουργίες στο HETZNER για φιλοξενία και στο Cloudflare για απόκρυψη διευθύνσεων IP.
Το κακόβουλο λογισμικό Sign1 οδηγεί τα θύματα σε αμφίβολους και μη ασφαλείς ιστότοπους
Το κακόβουλο λογισμικό Sign1 εισάγει κώδικα που διαθέτει κωδικοποίηση XOR και χρησιμοποιεί φαινομενικά τυχαία ονόματα μεταβλητών, περιπλέκοντας έτσι τον εντοπισμό για εργαλεία ασφαλείας.
Αυτός ο κακόβουλος κώδικας διενεργεί ελέγχους για συγκεκριμένες παραπομπές και cookies πριν από την ενεργοποίηση, στοχεύοντας κυρίως επισκέπτες από εξέχουσες πλατφόρμες όπως το Google, το Facebook, το Yahoo και το Instagram, ενώ σε άλλες περιπτώσεις βρίσκεται σε αδράνεια. Επιπλέον, ο κώδικας δημιουργεί ένα cookie στο πρόγραμμα περιήγησης του επισκέπτη, διασφαλίζοντας ότι το αναδυόμενο παράθυρο εμφανίζεται μόνο μία φορά ανά επισκέπτη, μειώνοντας έτσι την πιθανότητα υποβολής αναφορών από τον παραβιασμένο κάτοχο του ιστότοπου.
Στη συνέχεια, το σενάριο ανακατευθύνει τους επισκέπτες σε δόλιους ιστότοπους, όπως πλαστά captcha, που έχουν σχεδιαστεί για να παραπλανούν τους χρήστες ώστε να ενεργοποιούν τις ειδοποιήσεις του προγράμματος περιήγησης. Αυτές οι ειδοποιήσεις στη συνέχεια κατακλύζουν την επιφάνεια εργασίας του λειτουργικού συστήματος με ανεπιθύμητες διαφημίσεις.
Οι ειδικοί προειδοποιούν ότι το Sign1 έχει υποστεί μια αξιοσημείωτη εξέλιξη κατά τη διάρκεια των τεκμηριωμένων έξι μηνών της καμπάνιας, με τις μολύνσεις να κορυφώνονται με την κυκλοφορία νέων εκδόσεων του κακόβουλου λογισμικού.
Το κακόβουλο λογισμικό Sign1 έχει γίνει πιο δύσκολο να σταματήσει
Το κακόβουλο λογισμικό Sign1 έχει εντοπιστεί σε πάνω από 39.000 ιστότοπους, ενώ το τελευταίο κύμα επίθεσης, το οποίο βρίσκεται σε εξέλιξη από τον Ιανουάριο του 2024, απαίτησε 2.500 ιστότοπους. Η καμπάνια έχει εξελιχθεί με την πάροδο του χρόνου για να γίνει πιο κρυφή και πιο ανθεκτική στα μπλοκ, κάτι που είναι ανησυχητική εξέλιξη.
Για να προστατεύσουν τους ιστότοπούς τους από τις εκστρατείες επίθεσης, συνιστάται στις εταιρείες να χρησιμοποιούν έναν ισχυρό/μεγάλο κωδικό πρόσβασης διαχειριστή και να ενημερώνουν τις προσθήκες τους στην πιο πρόσφατη έκδοση. Επίσης, θα πρέπει να αφαιρεθούν τα περιττά πρόσθετα, τα οποία μπορούν να λειτουργήσουν ως πιθανή επιφάνεια επίθεσης.
