Sign1 بدافزار

یک عملیات بدافزار ناشناخته قبلی به نام Sign1 طی شش ماه با موفقیت به بیش از 39000 وب سایت نفوذ کرده است و در نتیجه بازدیدکنندگان با تغییر مسیرهای ناخواسته و تبلیغات بازشو بمباران می شوند. عاملان این تهدید، بدافزار را در ویجت‌های HTML و افزونه‌های معتبر موجود در پلتفرم‌های وردپرس قرار می‌دهند. آنها به جای تغییر فایل های اصلی وردپرس، اسکریپت های ناامن Sign1 را برای اجرای فعالیت های پلید خود به کار می گیرند.

کمپین بدافزار Sign1 نزدیک به 40000 سایت را در معرض خطر قرار داده است

محققان بر این باورند که نفوذ بدافزار Sign1 احتمالاً از یک استراتژی دوگانه شامل حملات brute force و بهره‌برداری از آسیب‌پذیری‌های افزونه‌ها برای نقض سیستم دفاعی وب‌سایت استفاده می‌کند. به محض ورود، مجرمان معمولاً از ویجت‌های HTML سفارشی وردپرس استفاده می‌کنند یا پلاگین به ظاهر قانونی Simple Custom CSS و JS را برای جاسازی کدهای جاوا اسکریپت مخرب نصب می‌کنند.

بررسی Sign1 از استفاده تصادفی مبتنی بر زمان برای تولید URLهای پویا پرده برداری کرده است که هر 10 دقیقه یکبار تغییر می کند تا تشخیص را خنثی کند. دامنه ها مدت کوتاهی قبل از استفاده در حملات ثبت می شوند و اطمینان حاصل می شود که در لیست های بلاک باقی نمی مانند. این URL ها برای تهیه اسکریپت های مخرب اضافی که در مرورگرهای بازدیدکنندگان اجرا می شوند، خدمت می کنند.

در ابتدا در Namecheap میزبانی شد، مهاجمان عملیات را برای میزبانی به HETZNER و برای پنهان کردن آدرس IP به Cloudflare منتقل کردند.

بدافزار Sign1 قربانیان را به سایت های مشکوک و ناامن می برد

بدافزار Sign1 کد حاوی رمزگذاری XOR را تزریق می‌کند و از نام‌های به ظاهر تصادفی متغیرها استفاده می‌کند و در نتیجه تشخیص ابزارهای امنیتی را پیچیده می‌کند.

این کد بدخواه قبل از فعال‌سازی، ارجاع‌دهنده‌ها و کوکی‌های خاصی را بررسی می‌کند و در درجه اول بازدیدکنندگان از پلتفرم‌های برجسته مانند گوگل، فیسبوک، یاهو و اینستاگرام را هدف قرار می‌دهد، در حالی که در موارد دیگر غیرفعال است. علاوه بر این، این کد یک کوکی در مرورگر بازدیدکننده ایجاد می‌کند و اطمینان حاصل می‌کند که پنجره بازشو فقط یک بار برای هر بازدیدکننده ظاهر می‌شود، بنابراین احتمال ثبت گزارش‌ها توسط مالک وب‌سایت در معرض خطر را کاهش می‌دهد.

متعاقباً، این اسکریپت بازدیدکنندگان را به سایت‌های جعلی مانند کپچای تقلبی هدایت می‌کند که برای فریب دادن کاربران برای فعال کردن اعلان‌های مرورگر طراحی شده‌اند. سپس این اعلان ها دسکتاپ سیستم عامل را با تبلیغات ناخواسته غرق می کند.

کارشناسان هشدار می دهند که Sign1 در طول شش ماه مستند کمپین دچار تحول قابل توجهی شده است و آلودگی ها پس از انتشار نسخه های جدید بدافزار به اوج خود رسیده است.

توقف بدافزار Sign1 دشوارتر شده است

بدافزار Sign1 در بیش از 39000 وب سایت شناسایی شده است، در حالی که آخرین موج حمله که از ژانویه 2024 در جریان بوده است، 2500 سایت را ادعا کرده است. این کمپین در طول زمان تکامل یافته است تا در برابر بلوک‌ها پنهان‌تر و انعطاف‌پذیرتر شود، که یک پیشرفت نگران‌کننده است.

برای محافظت از سایت‌های خود در برابر کمپین‌های حمله، به شرکت‌ها توصیه می‌شود از یک رمز عبور مدیریت قوی/طولانی استفاده کنند و افزونه‌های خود را به آخرین نسخه به‌روزرسانی کنند. همچنین، افزودنی‌های غیرضروری باید حذف شوند، که می‌توانند به عنوان یک سطح حمله بالقوه عمل کنند.