Sign1 악성코드

이전에 알려지지 않은 Sign1이라는 맬웨어 작업은 6개월 이내에 39,000개 이상의 웹사이트에 성공적으로 침투하여 방문자에게 원치 않는 리디렉션과 팝업 광고를 퍼붓게 했습니다. 이 위협의 가해자는 WordPress 플랫폼에 있는 맞춤형 HTML 위젯과 실제 플러그인에 악성코드를 심습니다. 정품 WordPress 파일을 변경하는 대신 안전하지 않은 Sign1 스크립트를 배포하여 사악한 활동을 실행합니다.

Sign1 악성 코드 캠페인은 거의 40,000개 사이트를 손상시켰습니다

연구원들은 과거 WordPress 위반 사례를 토대로 Sign1 악성 코드 침입이 무차별 대입 공격과 웹 사이트 방어를 위반하기 위한 플러그인 취약점 악용을 포함하는 이중 전략을 사용할 가능성이 있다고 믿습니다. 침입자는 일반적으로 WordPress 사용자 정의 HTML 위젯을 활용하거나 합법적인 것처럼 보이는 Simple Custom CSS 및 JS 플러그인을 설치하여 악의적인 JavaScript 코드를 삽입합니다.

Sign1의 조사에서는 동적 URL을 생성하기 위해 시간 기반 무작위화를 활용하여 탐지를 방해하기 위해 10분마다 변경하는 방법을 공개했습니다. 도메인은 공격에 활용되기 직전에 등록되므로 차단 목록에 포함되지 않습니다. 이러한 URL은 방문자의 브라우저 내에서 실행되는 추가 악성 스크립트를 확보하는 역할을 합니다.

처음에 Namecheap에서 호스팅된 공격자는 호스팅을 위해 HETZNER로, IP 주소 숨기기를 위해 Cloudflare로 작업을 마이그레이션했습니다.

Sign1 악성 코드는 피해자를 의심스럽고 안전하지 않은 사이트로 이동시킵니다.

Sign1 악성코드는 XOR 인코딩 기능을 갖춘 코드를 삽입하고 무작위로 보이는 변수 이름을 활용하므로 보안 도구 탐지가 복잡해집니다.

이 악의적인 코드는 활성화되기 전에 특정 리퍼러와 쿠키에 대한 검사를 수행하며 주로 Google, Facebook, Yahoo 및 Instagram과 같은 주요 플랫폼의 방문자를 대상으로 하며 다른 경우에는 휴면 상태에 있습니다. 또한 이 코드는 방문자의 브라우저에 쿠키를 설정하여 팝업이 방문자당 한 번만 표시되도록 하여 손상된 웹사이트 소유자가 신고할 가능성을 줄입니다.

그 후 스크립트는 사용자를 속여 브라우저 알림을 활성화하도록 설계된 위조 보안 문자와 같은 사기 사이트로 방문자를 리디렉션합니다. 이러한 알림은 원치 않는 광고로 운영 체제 데스크탑을 가득 채웁니다.

전문가들은 Sign1이 기록된 6개월 간의 캠페인 기간 동안 눈에 띄는 발전을 겪었으며, 새 버전의 악성코드가 출시되면서 감염률이 최고조에 이르렀다고 경고합니다.

Sign1 악성코드는 차단하기가 더욱 어려워졌습니다

Sign1 악성코드는 39,000개 이상의 웹사이트에서 탐지되었으며, 2024년 1월부터 진행된 최신 공격은 2,500개 이상의 사이트를 차지했습니다. 캠페인은 시간이 지남에 따라 블록에 대해 더욱 은밀하고 탄력적으로 발전해 왔으며 이는 걱정스러운 발전입니다.

공격 캠페인으로부터 사이트를 보호하기 위해 기업은 강력하고 긴 관리자 비밀번호를 사용하고 플러그인을 최신 버전으로 업데이트하는 것이 좋습니다. 또한 잠재적인 공격 표면으로 작용할 수 있는 불필요한 추가 기능을 제거해야 합니다.