Sign1 Haittaohjelma
Aiemmin tuntematon haittaohjelma, nimeltään Sign1, on tunkeutunut yli 39 000 verkkosivustolle kuuden kuukauden aikana, minkä seurauksena kävijöitä pommitetaan ei-toivotuilla uudelleenohjauksilla ja ponnahdusikkunoilla. Tämän uhan tekijät istuttavat haittaohjelmat räätälöityihin HTML-widgetteihin ja aitoja laajennuksia, jotka löytyvät WordPress-alustoista. Sen sijaan, että muuttaisivat aitoja WordPress-tiedostoja, he käyttävät vaarallisia Sign1-skriptejä suorittaakseen ilkeitä toimintojaan.
Sisällysluettelo
Sign1-haittaohjelmakampanja on vaarantanut lähes 40 000 sivustoa
Aiempien WordPress-rikkomusten perusteella tutkijat uskovat, että Sign1-haittaohjelmien tunkeutuminen todennäköisesti käyttää kahta strategiaa, joka sisältää raa'an voiman hyökkäyksiä ja laajennusten haavoittuvuuksien hyödyntämisen verkkosivustojen suojausten rikkomiseen. Saavuttuaan markkinoille tekijät käyttävät yleensä WordPressin mukautettuja HTML-widgetejä tai asentavat näennäisesti laillisen Simple Custom CSS- ja JS-laajennuksia haitallisen JavaScript-koodin upottamiseksi.
Examination of Sign1 on paljastanut aikaperusteisen satunnaistuksen käytön dynaamisten URL-osoitteiden luomiseen, ja se muuttuu 10 minuutin välein havaitsemisen estämiseksi. Verkkotunnukset rekisteröidään vähän ennen käyttöä hyökkäyksissä, mikä varmistaa, että ne pysyvät poissa estoluetteloista. Näiden URL-osoitteiden tarkoituksena on hankkia lisää haitallisia komentosarjoja, jotka suoritetaan vierailijoiden selaimissa.
Alun perin Namecheapissa isännöineet hyökkääjät siirsivät toimintansa HETZNERiin isännöintiä varten ja Cloudflareen IP-osoitteiden salaamista varten.
Sign1-haittaohjelma vie uhrit kyseenalaisille ja vaarallisille sivustoille
Sign1-haittaohjelma syöttää koodia, jossa on XOR-koodaus ja käyttää näennäisesti satunnaisten muuttujien nimiä, mikä vaikeuttaa tietoturvatyökalujen havaitsemista.
Tämä pahantahtoinen koodi suorittaa tarkistuksia tiettyjen viittausten ja evästeiden varalta ennen aktivointia ja kohdistuu ensisijaisesti vierailijoihin näkyvistä alustoista, kuten Googlesta, Facebookista, Yahoosta ja Instagramista, kun taas muissa tapauksissa se on lepotilassa. Lisäksi koodi asettaa evästeen vierailijan selaimeen, mikä varmistaa, että ponnahdusikkuna tulee näkyviin vain kerran vierailijaa kohden, mikä vähentää todennäköisyyttä, että vaarantuneen verkkosivuston omistaja tekee ilmoituksia.
Myöhemmin komentosarja ohjaa vierailijat petollisille sivustoille, kuten väärennetyille captcheille, jotka on suunniteltu huijaamaan käyttäjiä ottamaan käyttöön selaimen ilmoitukset. Nämä ilmoitukset täyttävät sitten käyttöjärjestelmän työpöydän ei-toivotuilla mainoksilla.
Asiantuntijat varoittavat, että Sign1 on kokenut huomattavan kehityksen kampanjan dokumentoidun kuuden kuukauden aikana, ja tartunnat ovat saavuttaneet huippunsa haittaohjelmien uusien versioiden julkaisun jälkeen.
Sign1-haittaohjelmasta on tullut vaikeampi pysäyttää
Sign1-haittaohjelma on havaittu yli 39 000 verkkosivustolta, kun taas viimeisin hyökkäysaalto, joka on ollut käynnissä tammikuusta 2024 lähtien, vaati 2 500 sivustoa. Kampanja on kehittynyt ajan myötä varkaimmiksi ja kestävämmiksi lohkoja vastaan, mikä on huolestuttavaa kehitystä.
Suojatakseen sivustojaan hyökkäyskampanjoilta yrityksiä kehotetaan käyttämään vahvaa/pitkää järjestelmänvalvojan salasanaa ja päivittämään laajennukset uusimpaan versioon. Myös tarpeettomat lisäosat tulee poistaa, jotka voivat toimia mahdollisena hyökkäyspinnana.
