Sign1Malware
Un'operazione malware precedentemente sconosciuta denominata Sign1 si è infiltrata con successo in più di 39.000 siti Web in sei mesi, bombardando i visitatori con reindirizzamenti indesiderati e pubblicità popup. Gli autori di questa minaccia inseriscono il malware in widget HTML personalizzati e plugin autentici presenti sulle piattaforme WordPress. Invece di alterare i file WordPress autentici, distribuiscono gli script non sicuri Sign1 per eseguire le loro attività nefaste.
Sommario
La campagna malware Sign1 ha compromesso quasi 40.000 siti
Prendendo spunto dalle precedenti violazioni di WordPress, i ricercatori ritengono che l’infiltrazione del malware Sign1 probabilmente utilizzi una duplice strategia che prevede attacchi di forza bruta e lo sfruttamento delle vulnerabilità dei plugin per violare le difese del sito web. Una volta entrati, i criminali utilizzano comunemente i widget HTML personalizzati di WordPress o installano il plugin Simple Custom CSS e JS, apparentemente legittimo, per incorporare codice JavaScript malevolo.
L'esame di Sign1 ha rivelato l'utilizzo della randomizzazione basata sul tempo per la generazione di URL dinamici, che si modificano ogni 10 minuti per ostacolare il rilevamento. I domini vengono registrati poco prima dell'utilizzo negli attacchi, garantendo che rimangano assenti dalle blocklist. Questi URL servono a procurare ulteriori script dannosi eseguiti nei browser dei visitatori.
Inizialmente ospitati su Namecheap, gli aggressori hanno migrato le operazioni su HETZNER per l'hosting e su Cloudflare per l'occultamento dell'indirizzo IP.
Il malware Sign1 porta le vittime su siti dubbi e non sicuri
Il malware Sign1 inietta codice con codifica XOR e utilizza nomi di variabili apparentemente casuali, complicando così il rilevamento per gli strumenti di sicurezza.
Questo codice malevolo effettua controlli su referrer e cookie specifici prima dell'attivazione, prendendo di mira principalmente i visitatori di piattaforme importanti come Google, Facebook, Yahoo e Instagram, mentre rimane dormiente in altri casi. Inoltre, il codice stabilisce un cookie sul browser del visitatore, garantendo che il popup appaia solo una volta per visitatore, riducendo così la probabilità che vengano inviate segnalazioni da parte del proprietario del sito web compromesso.
Successivamente, lo script reindirizza i visitatori a siti fraudolenti, come captcha contraffatti, progettati per indurre gli utenti ad abilitare le notifiche del browser. Queste notifiche inondano quindi il desktop del sistema operativo con pubblicità indesiderate.
Gli esperti avvertono che Sign1 ha subito una notevole evoluzione nel corso dei sei mesi documentati della campagna, con picchi di infezioni in corrispondenza del rilascio di nuove versioni del malware.
Il malware Sign1 è diventato più difficile da fermare
Il malware Sign1 è stato rilevato su oltre 39.000 siti Web, mentre l’ultima ondata di attacchi, in corso da gennaio 2024, ha colpito 2.500 siti. La campagna si è evoluta nel tempo per diventare più furtiva e più resistente ai blocchi, il che è uno sviluppo preoccupante.
Per proteggere i propri siti dalle campagne di attacco, si consiglia alle aziende di utilizzare una password amministratore complessa/lunga e di aggiornare i propri plugin alla versione più recente. Inoltre, dovrebbero essere rimossi i componenti aggiuntivi non necessari, che possono fungere da potenziale superficie di attacco.
