Sign1 ļaunprātīga programmatūra
Iepriekš nezināma ļaunprātīgas programmatūras operācija ar nosaukumu Sign1 sešu mēnešu laikā ir veiksmīgi iefiltrējusies vairāk nekā 39 000 tīmekļa vietņu, kā rezultātā apmeklētāji tiek bombardēti ar nevēlamiem novirzījumiem un uznirstošām reklāmām. Šo draudu izraisītāji ievieto ļaunprogrammatūru pielāgotos HTML logrīkos un autentiskos spraudņos, kas atrodami WordPress platformās. Tā vietā, lai mainītu oriģinālos WordPress failus, viņi izvieto nedrošos Sign1 skriptus, lai veiktu savas negodīgās darbības.
Satura rādītājs
Sign1 ļaunprātīgas programmatūras kampaņa ir apdraudējusi gandrīz 40 000 vietņu
Pamatojoties uz iepriekšējiem WordPress pārkāpumiem, pētnieki uzskata, ka Sign1 ļaunprātīgas programmatūras infiltrācija, iespējams, izmanto dubultu stratēģiju, kas ietver brutālu spēku uzbrukumus un spraudņu ievainojamību izmantošanu, lai pārkāptu vietņu aizsardzību. Iekļūstot, vainīgie parasti izmanto WordPress pielāgotus HTML logrīkus vai instalē šķietami likumīgo Simple Custom CSS un JS spraudni, lai iegultu ļaunprātīgu JavaScript kodu.
Sign1 pārbaude ir atklājusi, ka tā izmanto uz laiku balstītu randomizāciju dinamisku URL ģenerēšanai, mainot ik pēc 10 minūtēm, lai kavētu noteikšanu. Domēni tiek reģistrēti īsi pirms izmantošanas uzbrukumos, nodrošinot, ka tie netiek iekļauti bloķēšanas sarakstos. Šie URL kalpo, lai iegūtu papildu ļaunprātīgus skriptus, kas tiek izpildīti apmeklētāju pārlūkprogrammās.
Sākotnēji tas tika mitināts vietnē Namecheap, un uzbrucēji migrēja operācijas uz HETZNER mitināšanai un Cloudflare IP adreses slēpšanai.
Sign1 ļaunprogrammatūra aizved upurus uz apšaubāmām un nedrošām vietnēm
Sign1 ļaunprogrammatūra ievada kodu ar XOR kodējumu un izmanto šķietami nejaušus mainīgo nosaukumus, tādējādi apgrūtinot drošības rīku noteikšanu.
Šis ļaunprātīgais kods pirms aktivizēšanas pārbauda konkrētus novirzītājus un sīkfailus, galvenokārt mērķējot uz apmeklētājiem no ievērojamām platformām, piemēram, Google, Facebook, Yahoo un Instagram, bet citos gadījumos tas nedarbojas. Turklāt kods izveido sīkfailu apmeklētāja pārlūkprogrammā, nodrošinot, ka uznirstošais logs katram apmeklētājam parādās tikai vienu reizi, tādējādi samazinot iespēju, ka apdraudētās vietnes īpašnieks iesniedz ziņojumus.
Pēc tam skripts novirza apmeklētājus uz krāpnieciskām vietnēm, piemēram, viltotām captchas, kas paredzētas, lai maldinātu lietotājus, lai tie iespējotu pārlūkprogrammas paziņojumus. Pēc tam šie paziņojumi pārpludina operētājsistēmas darbvirsmu ar nevēlamām reklāmām.
Eksperti brīdina, ka Sign1 ir piedzīvojusi ievērojamu evolūciju dokumentēto sešu kampaņas mēnešu laikā, infekciju sasniedzot pēc jaunu ļaunprātīgas programmatūras versiju izlaišanas.
Sign1 ļaunprogrammatūru ir kļuvis grūtāk apturēt
Sign1 ļaunprogrammatūra ir konstatēta vairāk nekā 39 000 vietņu, savukārt jaunākais uzbrukuma vilnis, kas norisinājās kopš 2024. gada janvāra, prasīja 2500 vietņu. Kampaņa laika gaitā ir attīstījusies, lai kļūtu slepenāka un noturīgāka pret blokiem, kas ir satraucošs notikums.
Lai aizsargātu savas vietnes pret uzbrukuma kampaņām, uzņēmumiem ieteicams izmantot spēcīgu/garu administratora paroli un atjaunināt savus spraudņus uz jaunāko versiju. Tāpat ir jānoņem nevajadzīgie papildinājumi, kas var darboties kā potenciāla uzbrukuma virsma.
