Sign1 Malware
פעולת תוכנה זדונית שלא הייתה ידועה בעבר בשם Sign1 חדרה בהצלחה ליותר מ-39,000 אתרים בתוך שישה חודשים, וכתוצאה מכך מבקרים הופצצו בהפניות לא רצויות ופרסומות קופצות. מבצעי האיום הזה משתילים את התוכנה הזדונית לתוך ווידג'טים של HTML מותאמים ותוספים אותנטיים שנמצאים בפלטפורמות וורדפרס. במקום לשנות את קבצי וורדפרס המקוריים, הם פורסים את הסקריפטים הלא בטוחים של Sign1 כדי לבצע את הפעילויות המרושעות שלהם.
תוכן העניינים
מסע הפרסום של Sign1 תוכנות זדוניות פגע בכמעט 40,000 אתרים
בהתבסס על הפרות קודמות של וורדפרס, חוקרים מאמינים שחדירת Sign1 Malware ככל הנראה משתמשת באסטרטגיה כפולה הכוללת תקיפות של כוח גס וניצול פגיעויות של תוספים כדי לפרוץ את הגנות האתר. עם קבלת כניסה, העבריינים משתמשים בדרך כלל בווידג'טים של HTML מותאמים אישית של וורדפרס או מתקינים את הפלאגין Simple Custom CSS ו-JS לגיטימי לכאורה כדי להטמיע קוד JavaScript זדוני.
בדיקה של Sign1 חשפה את השימוש באקראי מבוסס זמן ליצירת כתובות URL דינמיות, המשתנות כל 10 דקות כדי לסכל זיהוי. הדומיינים נרשמים זמן קצר לפני השימוש בהתקפות, מה שמבטיח שהם יישארו נעדרים מרשימות חסימה. כתובות URL אלו משמשות להשיג סקריפטים זדוניים נוספים המבוצעים בדפדפנים של מבקרים.
התוקפים התארחו בתחילה ב-Namecheap, והעבירו את הפעולות ל-HETZNER לאירוח ול-Cloudflare להסתרת כתובות IP.
התוכנה הזדונית של Sign1 לוקחת קורבנות לאתרים מפוקפקים ולא בטוחים
תוכנת ה-Sign1 Malware מזריקה קוד הכולל קידוד XOR ומשתמשת בשמות משתנים אקראיים לכאורה, ובכך מסבכת את הזיהוי עבור כלי אבטחה.
קוד זדוני זה מבצע בדיקות למפנים וקובצי Cookie ספציפיים לפני ההפעלה, בעיקר מכוון למבקרים מפלטפורמות בולטות כמו גוגל, פייסבוק, יאהו ואינסטגרם, בעודם שוכבים רדומים במקרים אחרים. יתרה מכך, הקוד יוצר קובץ Cookie בדפדפן של המבקר, המבטיח שהקופץ מופיע רק פעם אחת לכל מבקר, ובכך מקטין את הסבירות להגשת דוחות על ידי בעל האתר שנפגע.
לאחר מכן, הסקריפט מפנה מבקרים לאתרי הונאה, כגון captchas מזויפים, שנועדו להונות משתמשים כדי לאפשר התראות בדפדפן. הודעות אלו מציפות את שולחן העבודה של מערכת ההפעלה בפרסומות לא רצויות.
מומחים מזהירים ש-Sign1 עבר אבולוציה ראויה לציון במהלך ששת החודשים המתועדים של הקמפיין, כאשר הזיהומים הגיעו לשיא עם שחרור גרסאות חדשות של התוכנה הזדונית.
התוכנה הזדונית של Sign1 הפכה לקשה יותר לעצור
תוכנת ה-Sign1 Malware זוהתה בלמעלה מ-39,000 אתרים, בעוד שגל ההתקפה האחרון, שהתקיים מאז ינואר 2024, טען ל-2,500 אתרים. הקמפיין התפתח עם הזמן כדי להיות חמקני ועמיד יותר בפני בלוקים, וזו התפתחות מדאיגה.
כדי להגן על האתרים שלהן מפני מסעות התקיפה, מומלץ לחברות להשתמש בסיסמת מנהל חזקה/ארוכה ולעדכן את התוספים שלהן לגרסה העדכנית ביותר. כמו כן, יש להסיר תוספות מיותרות, שיכולות לשמש כמשטח התקפה פוטנציאלי.
<p/ style=";text-align:right;direction:rtl">
