Sign1 Malware
Operasi perisian hasad yang sebelum ini tidak diketahui bernama Sign1 telah berjaya menyusup lebih daripada 39,000 tapak web dalam tempoh enam bulan, menyebabkan pelawat dihujani dengan ubah hala yang tidak diingini dan iklan pop timbul. Pelaku ancaman ini menanamkan perisian hasad ke dalam widget HTML yang disesuaikan dan pemalam sahih yang terdapat pada platform WordPress. Daripada mengubah fail WordPress tulen, mereka menggunakan skrip Sign1 yang tidak selamat untuk melaksanakan aktiviti jahat mereka.
Isi kandungan
Kempen Malware Sign1 Telah Mengganggu Hampir 40,000 Tapak
Berdasarkan pelanggaran WordPress yang lalu, penyelidik percaya bahawa penyusupan Sign1 Malware mungkin menggunakan strategi dwi yang melibatkan serangan kekerasan dan eksploitasi kelemahan pemalam untuk melanggar pertahanan laman web. Apabila mendapat kemasukan, pelaku biasanya menggunakan widget HTML tersuai WordPress atau memasang pemalam CSS Tersuai Mudah dan JS yang kelihatan sah untuk membenamkan kod JavaScript jahat.
Pemeriksaan Sign1 telah mendedahkan penggunaan rawak berasaskan masa untuk menjana URL dinamik, mengubah setiap 10 minit untuk menggagalkan pengesanan. Domain tersebut didaftarkan sejurus sebelum digunakan dalam serangan, memastikan ia kekal tiada dalam senarai sekat. URL ini berfungsi untuk mendapatkan skrip hasad tambahan yang dilaksanakan dalam pelayar pelawat.
Pada mulanya dihoskan pada Namecheap, penyerang memindahkan operasi ke HETZNER untuk pengehosan dan Cloudflare untuk penyembunyian alamat IP.
Perisian Hasad Sign1 Membawa Mangsa ke Tapak Yang Meragukan dan Tidak Selamat
Sign1 Malware menyuntik kod yang menampilkan pengekodan XOR dan menggunakan nama pembolehubah yang kelihatan rawak, dengan itu merumitkan pengesanan untuk alatan keselamatan.
Kod jahat ini menjalankan semakan untuk perujuk dan kuki tertentu sebelum pengaktifan, terutamanya menyasarkan pelawat daripada platform terkemuka seperti Google, Facebook, Yahoo dan Instagram, sambil tidak aktif dalam keadaan lain. Selain itu, kod tersebut menetapkan kuki pada penyemak imbas pelawat, memastikan bahawa pop timbul hanya muncul sekali bagi setiap pelawat, sekali gus mengurangkan kemungkinan laporan difailkan oleh pemilik tapak web yang terjejas.
Selepas itu, skrip itu mengubah hala pelawat ke tapak penipuan, seperti captcha palsu, yang direka untuk memperdaya pengguna supaya membolehkan pemberitahuan penyemak imbas. Pemberitahuan ini kemudian membanjiri desktop sistem pengendalian dengan iklan yang tidak diingini.
Pakar memberi amaran bahawa Sign1 telah mengalami evolusi yang ketara sepanjang enam bulan kempen yang didokumenkan, dengan jangkitan memuncak selepas keluaran versi baharu perisian hasad.
Perisian Hasad Sign1 Menjadi Lebih Sukar untuk Dihentikan
Malware Sign1 telah dikesan di lebih 39,000 laman web, manakala gelombang serangan terbaru, yang telah dijalankan sejak Januari 2024, mendakwa 2,500 tapak. Kempen ini telah berkembang dari semasa ke semasa untuk menjadi lebih senyap dan lebih tahan terhadap sekatan, yang merupakan perkembangan yang membimbangkan.
Untuk melindungi tapak mereka daripada kempen serangan, syarikat dinasihatkan untuk menggunakan kata laluan pentadbir yang kuat/panjang dan mengemas kini pemalam mereka kepada versi terkini. Selain itu, alat tambah yang tidak perlu harus dialih keluar, yang boleh bertindak sebagai permukaan serangan yang berpotensi.
