Sign1 pahavara
Varem tundmatu pahavaraoperatsioon nimega Sign1 on kuue kuu jooksul edukalt tunginud enam kui 39 000 veebisaidile, mille tulemusel pommitatakse külastajaid soovimatute ümbersuunamiste ja hüpikaknareklaamidega. Selle ohu toimepanijad implanteerivad pahavara kohandatud HTML-i vidinatesse ja autentsetesse pistikprogrammidesse, mida leidub WordPressi platvormidel. Ehtsate WordPressi failide muutmise asemel juurutavad nad ebaturvalised Sign1 skriptid oma alatute tegevuste sooritamiseks.
Sisukord
Sign1 pahavara kampaania on ohustanud peaaegu 40 000 saiti
Varasemate WordPressi rikkumiste põhjal usuvad teadlased, et Sign1 pahavara sisseimbumine kasutab tõenäoliselt kahekordset strateegiat, mis hõlmab jõhkra jõu rünnakuid ja pistikprogrammide haavatavuste ärakasutamist veebisaidi kaitsemehhanismide rikkumiseks. Sissepääsemisel kasutavad kurjategijad pahatahtliku JavaScripti koodi manustamiseks tavaliselt WordPressi kohandatud HTML-vidinaid või installivad pealtnäha legitiimse Simple Custom CSS-i ja JS-i pistikprogrammi.
Sign1 uurimine on paljastanud selle ajapõhise randomiseerimise kasutamise dünaamiliste URL-ide genereerimiseks, muutes tuvastamise takistamiseks iga 10 minuti järel. Domeenid registreeritakse vahetult enne rünnakutes kasutamist, tagades, et need ei ole blokeerimisloendites. Nende URL-ide eesmärk on hankida külastajate brauserites käivitatavaid täiendavaid pahatahtlikke skripte.
Algselt saidil Namecheap hostitud ründajad viisid toimingud üle HETZNERile hostimiseks ja Cloudflare'i IP-aadressi varjamiseks.
Sign1 pahavara viib ohvrid kahtlastele ja ebaturvalistele saitidele
Sign1 pahavara sisestab XOR-kodeeringuga koodi ja kasutab näiliselt juhuslikke muutujate nimesid, raskendades sellega turvatööriistade tuvastamist.
See pahatahtlik kood kontrollib enne aktiveerimist konkreetsete viitajate ja küpsiste olemasolu, sihites peamiselt silmapaistvate platvormide, nagu Google, Facebook, Yahoo ja Instagram, külastajaid, kuid muudel juhtudel on see uinunud. Lisaks loob kood külastaja brauseris küpsise, tagades, et hüpikaken ilmub külastaja kohta ainult üks kord, vähendades seega tõenäosust, et ohustatud veebisaidi omanik esitab teateid.
Seejärel suunab skript külastajad ümber petturlikele saitidele, nagu võltsitud captchad, mis on loodud kasutajate petmiseks, et nad lubaksid brauseri märguandeid. Seejärel uputavad need teatised operatsioonisüsteemi töölaua soovimatute reklaamidega.
Eksperdid hoiatavad, et Sign1 on kampaania dokumenteeritud kuue kuu jooksul läbi teinud märkimisväärse arengu, kusjuures nakkused saavutasid haripunkti pärast pahavara uute versioonide avaldamist.
Sign1 pahavara peatamine on muutunud keerulisemaks
Sign1 pahavara on tuvastatud enam kui 39 000 veebisaidil, samas kui viimane rünnakulaine, mis on kestnud alates 2024. aasta jaanuarist, hõlmas 2500 saiti. Kampaania on aja jooksul arenenud, et muutunud vargsimaks ja plokkidele vastupidavamaks, mis on murettekitav areng.
Oma saitide kaitsmiseks ründekampaaniate eest soovitatakse ettevõtetel kasutada tugevat/pikka administraatoriparooli ja värskendada oma pistikprogrammid uusimale versioonile. Samuti tuleks eemaldada mittevajalikud lisandmoodulid, mis võivad toimida potentsiaalse ründepinnana.
