Sign1 بدافزار
یک عملیات بدافزار ناشناخته قبلی به نام Sign1 طی شش ماه با موفقیت به بیش از 39000 وب سایت نفوذ کرده است و در نتیجه بازدیدکنندگان با تغییر مسیرهای ناخواسته و تبلیغات بازشو بمباران می شوند. عاملان این تهدید، بدافزار را در ویجتهای HTML و افزونههای معتبر موجود در پلتفرمهای وردپرس قرار میدهند. آنها به جای تغییر فایل های اصلی وردپرس، اسکریپت های ناامن Sign1 را برای اجرای فعالیت های پلید خود به کار می گیرند.
فهرست مطالب
کمپین بدافزار Sign1 نزدیک به 40000 سایت را در معرض خطر قرار داده است
محققان بر این باورند که نفوذ بدافزار Sign1 احتمالاً از یک استراتژی دوگانه شامل حملات brute force و بهرهبرداری از آسیبپذیریهای افزونهها برای نقض سیستم دفاعی وبسایت استفاده میکند. به محض ورود، مجرمان معمولاً از ویجتهای HTML سفارشی وردپرس استفاده میکنند یا پلاگین به ظاهر قانونی Simple Custom CSS و JS را برای جاسازی کدهای جاوا اسکریپت مخرب نصب میکنند.
بررسی Sign1 از استفاده تصادفی مبتنی بر زمان برای تولید URLهای پویا پرده برداری کرده است که هر 10 دقیقه یکبار تغییر می کند تا تشخیص را خنثی کند. دامنه ها مدت کوتاهی قبل از استفاده در حملات ثبت می شوند و اطمینان حاصل می شود که در لیست های بلاک باقی نمی مانند. این URL ها برای تهیه اسکریپت های مخرب اضافی که در مرورگرهای بازدیدکنندگان اجرا می شوند، خدمت می کنند.
در ابتدا در Namecheap میزبانی شد، مهاجمان عملیات را برای میزبانی به HETZNER و برای پنهان کردن آدرس IP به Cloudflare منتقل کردند.
بدافزار Sign1 قربانیان را به سایت های مشکوک و ناامن می برد
بدافزار Sign1 کد حاوی رمزگذاری XOR را تزریق میکند و از نامهای به ظاهر تصادفی متغیرها استفاده میکند و در نتیجه تشخیص ابزارهای امنیتی را پیچیده میکند.
این کد بدخواه قبل از فعالسازی، ارجاعدهندهها و کوکیهای خاصی را بررسی میکند و در درجه اول بازدیدکنندگان از پلتفرمهای برجسته مانند گوگل، فیسبوک، یاهو و اینستاگرام را هدف قرار میدهد، در حالی که در موارد دیگر غیرفعال است. علاوه بر این، این کد یک کوکی در مرورگر بازدیدکننده ایجاد میکند و اطمینان حاصل میکند که پنجره بازشو فقط یک بار برای هر بازدیدکننده ظاهر میشود، بنابراین احتمال ثبت گزارشها توسط مالک وبسایت در معرض خطر را کاهش میدهد.
متعاقباً، این اسکریپت بازدیدکنندگان را به سایتهای جعلی مانند کپچای تقلبی هدایت میکند که برای فریب دادن کاربران برای فعال کردن اعلانهای مرورگر طراحی شدهاند. سپس این اعلان ها دسکتاپ سیستم عامل را با تبلیغات ناخواسته غرق می کند.
کارشناسان هشدار می دهند که Sign1 در طول شش ماه مستند کمپین دچار تحول قابل توجهی شده است و آلودگی ها پس از انتشار نسخه های جدید بدافزار به اوج خود رسیده است.
توقف بدافزار Sign1 دشوارتر شده است
بدافزار Sign1 در بیش از 39000 وب سایت شناسایی شده است، در حالی که آخرین موج حمله که از ژانویه 2024 در جریان بوده است، 2500 سایت را ادعا کرده است. این کمپین در طول زمان تکامل یافته است تا در برابر بلوکها پنهانتر و انعطافپذیرتر شود، که یک پیشرفت نگرانکننده است.
برای محافظت از سایتهای خود در برابر کمپینهای حمله، به شرکتها توصیه میشود از یک رمز عبور مدیریت قوی/طولانی استفاده کنند و افزونههای خود را به آخرین نسخه بهروزرسانی کنند. همچنین، افزودنیهای غیرضروری باید حذف شوند، که میتوانند به عنوان یک سطح حمله بالقوه عمل کنند.