Sign1 kenkėjiška programa
Anksčiau nežinoma kenkėjiškų programų operacija, pavadinta „Sign1“, per šešis mėnesius sėkmingai įsiskverbė į daugiau nei 39 000 svetainių, todėl lankytojai buvo užpulti nepageidaujamais peradresavimais ir iššokančiaisiais skelbimais. Šios grėsmės kaltininkai implantuoja kenkėjiškas programas į pritaikytus HTML valdiklius ir autentiškus papildinius, esančius „WordPress“ platformose. Užuot pakeitę autentiškus „WordPress“ failus, jie diegia nesaugius „Sign1“ scenarijus, kad galėtų vykdyti savo niekšingą veiklą.
Turinys
„Sign1“ kenkėjiškų programų kampanija pakenkė beveik 40 000 svetainių
Remdamiesi ankstesniais „WordPress“ pažeidimais, mokslininkai mano, kad „Sign1“ kenkėjiškų programų įsiskverbimas greičiausiai taiko dvigubą strategiją, apimančią brutalios jėgos puolimą ir papildinio pažeidžiamumo išnaudojimą, siekiant pažeisti svetainės apsaugą. Patekę į rinką, nusikaltėliai dažniausiai naudoja „WordPress“ tinkintus HTML valdiklius arba įdiegia iš pažiūros teisėtą „Simple Custom CSS“ ir „JS“ papildinį, kad įterptų piktavališką „JavaScript“ kodą.
„Sign1“ tyrimas atskleidė, kad dinaminiams URL generuoti naudojamas pagal laiką pagrįstas atsitiktinės atrankos metodas, keičiantis kas 10 minučių, kad sutrukdytų aptikimui. Domenai registruojami prieš pat panaudojimą atakoms, užtikrinant, kad jų nebūtų blokavimo sąrašuose. Šie URL skirti gauti papildomų kenkėjiškų scenarijų, vykdomų lankytojų naršyklėse.
Iš pradžių priegloboje „Namecheap“ užpuolikai perėjo į HETZNER prieglobos ir „Cloudflare“ IP adreso slėpimo operacijas.
„Sign1“ kenkėjiška programa nuneša aukas į abejotinas ir nesaugias svetaines
„Sign1“ kenkėjiška programa įveda kodą su XOR kodavimu ir naudoja tariamai atsitiktinius kintamųjų pavadinimus, taip apsunkindama saugos įrankių aptikimą.
Šis piktybinis kodas tikrina, ar nėra konkrečių persiuntimo šaltinių ir slapukų prieš suaktyvinimą, pirmiausia nukreipdamas lankytojus iš žinomų platformų, tokių kaip Google, Facebook, Yahoo ir Instagram, o kitais atvejais neveikia. Be to, kodas sukuria slapuką lankytojo naršyklėje, užtikrinantį, kad iššokantis langas būtų rodomas tik vieną kartą kiekvienam lankytojui, taip sumažinant tikimybę, kad pažeistas svetainės savininkas pateiks ataskaitas.
Vėliau scenarijus nukreipia lankytojus į nesąžiningas svetaines, pvz., suklastotus captchas, skirtas suklaidinti vartotojus, kad jie įgalintų naršyklės pranešimus. Tada šie pranešimai užplūsta operacinės sistemos darbalaukį nepageidaujamais skelbimais.
Ekspertai perspėja, kad „Sign1“ per dokumentais įrodytus šešis kampanijos mėnesius patyrė didelę raidą, o užkratų viršūnę pasiekė išleidus naujas kenkėjiškos programos versijas.
„Sign1“ kenkėjišką programą sustabdyti tapo sunkiau
„Sign1“ kenkėjiška programa buvo aptikta daugiau nei 39 000 svetainių, o naujausia atakų banga, kuri tęsiasi nuo 2024 m. sausio mėn., užėmė 2 500 svetainių. Kampanija laikui bėgant vystėsi, kad tapo slaptesnė ir atsparesnė blokams, o tai kelia nerimą.
Siekiant apsaugoti savo svetaines nuo atakų kampanijų, įmonėms patariama naudoti stiprų / ilgą administratoriaus slaptažodį ir atnaujinti savo papildinius į naujausią versiją. Be to, reikia pašalinti nereikalingus priedus, kurie gali veikti kaip galimas atakos paviršius.
