Sign1 Malware
A Sign1 nevű, korábban ismeretlen kártevő-művelet hat hónapon belül több mint 39 000 webhelyre hatolt be sikeresen, aminek eredményeként a látogatókat nem kívánt átirányításokkal és felugró hirdetésekkel bombázták. A fenyegetés elkövetői a kártevőt testre szabott HTML-modulokba és hiteles bővítményekbe ültetik be a WordPress platformokon. Ahelyett, hogy megváltoztatnák az eredeti WordPress-fájlokat, a nem biztonságos Sign1 szkripteket telepítik aljas tevékenységeik végrehajtására.
Tartalomjegyzék
A Sign1 rosszindulatú programok kampánya közel 40 000 webhelyet veszélyeztetett
A WordPress korábbi feltöréseiből kiindulva a kutatók úgy vélik, hogy a Sign1 Malware beszivárgása valószínűleg kettős stratégiát alkalmaz, beleértve a brutális erőszakos támadásokat és a beépülő modulok sebezhetőségeinek kihasználását a webhely védelmének megsértésére. A belépéskor az elkövetők általában WordPress egyéni HTML-modulokat használnak, vagy telepítik a látszólag legitim Simple Custom CSS- és JS-bővítményt a rosszindulatú JavaScript-kód beágyazásához.
Az Examination of Sign1 bemutatta, hogyan használja az időalapú véletlenszerűsítést dinamikus URL-ek generálására, 10 percenként módosítva az észlelést. A domaineket röviddel a támadásokban való felhasználás előtt regisztrálják, így biztosítva, hogy távol maradjanak a tiltólistán. Ezek az URL-ek további rosszindulatú szkriptek beszerzésére szolgálnak a látogatók böngészőiben.
A támadók kezdetben a Namecheapen tárolták, a HETZNER-re költöztek a tárhely és a Cloudflare-re az IP-címek elrejtése céljából.
A Sign1 rosszindulatú program kétes és nem biztonságos webhelyekre viszi az áldozatokat
A Sign1 Malware XOR kódolású kódot fecskendez be, és látszólag véletlenszerű változóneveket használ, ezáltal megnehezíti a biztonsági eszközök észlelését.
Ez a rosszindulatú kód ellenőriz bizonyos hivatkozókat és cookie-kat az aktiválás előtt, elsősorban a kiemelkedő platformokról, például a Google-ról, a Facebookról, a Yahoo-ról és az Instagramról érkező látogatókat célozva meg, míg más esetekben alvó állapotban van. Ezenkívül a kód cookie-t hoz létre a látogató böngészőjében, biztosítva, hogy a felugró ablak látogatónként csak egyszer jelenjen meg, így csökkentve annak valószínűségét, hogy a feltört webhelytulajdonos bejelentéseket küldjön.
Ezt követően a szkript csaló webhelyekre irányítja át a látogatókat, például hamisított captchákra, amelyek célja, hogy megtévessze a felhasználókat, hogy engedélyezzék a böngésző értesítéseit. Ezek az értesítések aztán elárasztják az operációs rendszer asztalát nem kívánt reklámokkal.
A szakértők arra figyelmeztetnek, hogy a Sign1 jelentős fejlődésen ment keresztül a kampány dokumentált hat hónapja alatt, és a fertőzések a kártevő új verzióinak megjelenése után tetőztek.
A Sign1 rosszindulatú program leállítása egyre nehezebbé vált
A Sign1 Malware-t több mint 39 000 webhelyen észlelték, míg a legutóbbi támadási hullám, amely 2024 januárja óta zajlik, 2500 webhelyet sújtott. A kampány az idők során egyre lopakodóbbá és a blokkokkal szemben ellenállóbbá vált, ami aggasztó fejlemény.
Webhelyeik támadási kampányokkal szembeni védelme érdekében a cégeknek erős/hosszú rendszergazdai jelszó használatát javasolják, és bővítményeiket frissítsék a legújabb verzióra. Ezenkívül el kell távolítani a szükségtelen kiegészítőket, amelyek potenciális támadási felületként működhetnek.