Sign1 Malware
Prethodno nepoznata operacija zlonamjernog softvera pod nazivom Sign1 uspješno se infiltrirala na više od 39.000 web stranica u roku od šest mjeseci, što je rezultiralo bombardiranjem posjetitelja neželjenim preusmjeravanjima i skočnim oglasima. Počinitelji ove prijetnje ugrađuju zlonamjerni softver u prilagođene HTML widgete i autentične dodatke koji se nalaze na WordPress platformama. Umjesto da mijenjaju izvorne WordPress datoteke, postavljaju nesigurne Sign1 skripte za izvršavanje svojih opakih aktivnosti.
Sadržaj
Kampanja zlonamjernog softvera Sign1 ugrozila je gotovo 40.000 stranica
Oslanjajući se na prošla kršenja WordPressa, istraživači vjeruju da infiltracija zlonamjernog softvera Sign1 vjerojatno koristi dvostruku strategiju koja uključuje napade grubom silom i iskorištavanje ranjivosti dodataka za probijanje obrane web stranice. Nakon što uđu, počinitelji obično koriste WordPress prilagođene HTML widgete ili instaliraju naizgled legitimne Simple Custom CSS i JS dodatke za ugradnju zlonamjernog JavaScript koda.
Examination of Sign1 otkrio je svoju upotrebu randomizacije temeljene na vremenu za generiranje dinamičkih URL-ova, mijenjajući se svakih 10 minuta kako bi se spriječilo otkrivanje. Domene se registriraju neposredno prije korištenja u napadima, osiguravajući da ostanu odsutne s popisa blokiranih. Ovi URL-ovi služe za nabavu dodatnih zlonamjernih skripti koje se izvršavaju unutar preglednika posjetitelja.
U početku hostiran na Namecheapu, napadači su migrirali operacije na HETZNER za hosting i Cloudflare za prikrivanje IP adrese.
Zlonamjerni softver Sign1 odvodi žrtve na sumnjiva i nesigurna mjesta
Zlonamjerni softver Sign1 ubacuje kod koji sadrži XOR kodiranje i koristi naizgled nasumične nazive varijabli, komplicirajući otkrivanje sigurnosnim alatima.
Ovaj zlonamjerni kod provodi provjere specifičnih referera i kolačića prije aktivacije, primarno ciljajući na posjetitelje s istaknutih platformi kao što su Google, Facebook, Yahoo i Instagram, dok u drugim slučajevima miruje. Štoviše, kod postavlja kolačić na preglednik posjetitelja, osiguravajući da se skočni prozor pojavi samo jednom po posjetitelju, čime se smanjuje vjerojatnost podnošenja prijava od strane vlasnika ugrožene web stranice.
Naknadno, skripta preusmjerava posjetitelje na lažna mjesta, kao što su krivotvoreni captcha, osmišljena da prevare korisnike da omoguće obavijesti preglednika. Te obavijesti zatim preplave radnu površinu operativnog sustava neželjenim reklamama.
Stručnjaci upozoravaju da je Sign1 prošao kroz značajnu evoluciju tijekom dokumentiranih šest mjeseci kampanje, pri čemu su infekcije dosegle vrhunac nakon objavljivanja novih verzija zlonamjernog softvera.
Zlonamjerni softver Sign1 postalo je teže zaustaviti
Zlonamjerni softver Sign1 otkriven je na više od 39.000 web stranica, dok je posljednji val napada, koji traje od siječnja 2024., odnio 2500 stranica. Kampanja je s vremenom evoluirala kako bi postala prikrivenija i otpornija na blokove, što je zabrinjavajući razvoj događaja.
Kako bi zaštitile svoje stranice od kampanja napada, tvrtkama se savjetuje da koriste jaku/dugu administratorsku lozinku i ažuriraju svoje dodatke na najnoviju verziju. Također, treba ukloniti nepotrebne dodatke koji mogu poslužiti kao potencijalna površina za napad.
