Sign1 Malware
En tidligere ukjent skadelig programvare-operasjon ved navn Sign1 har vellykket infiltrert mer enn 39 000 nettsteder i løpet av seks måneder, noe som har resultert i at besøkende blir bombardert med uønskede omdirigeringer og popup-annonser. Gjerningsmennene til denne trusselen implanterer skadelig programvare i skreddersydde HTML-widgets og autentiske plugins som finnes på WordPress-plattformer. I stedet for å endre de ekte WordPress-filene, distribuerer de de usikre Sign1-skriptene for å utføre sine uhyggelige aktiviteter.
Innholdsfortegnelse
Sign1 Malware-kampanjen har kompromittert nesten 40 000 nettsteder
Basert på tidligere WordPress-brudd, mener forskere at Sign1 Malware-infiltrasjonen sannsynligvis bruker en dobbel strategi som involverer brute force-angrep og utnyttelse av plugin-sårbarheter for å bryte nettstedforsvar. Ved å komme inn bruker gjerningsmenn vanligvis WordPress tilpassede HTML-widgeter eller installerer den tilsynelatende legitime Simple Custom CSS- og JS-pluginen for å bygge inn ondsinnet JavaScript-kode.
Undersøkelse av Sign1 har avslørt bruken av tidsbasert randomisering for å generere dynamiske URL-er, som endres hvert 10. minutt for å hindre gjenkjenning. Domenene registreres kort tid før bruk i angrep, noe som sikrer at de forblir fraværende fra blokkeringslister. Disse nettadressene tjener til å skaffe ytterligere ondsinnede skript som kjøres i besøkendes nettlesere.
Opprinnelig vert på Namecheap, overgrepsmennene migrerte operasjoner til HETZNER for hosting og Cloudflare for skjult IP-adresse.
Sign1 Malware tar ofre til tvilsomme og usikre nettsteder
Sign1 Malware injiserer kode med XOR-koding og bruker tilsynelatende tilfeldige variabelnavn, og kompliserer derved deteksjon for sikkerhetsverktøy.
Denne ondsinnede koden utfører kontroller for spesifikke henvisninger og informasjonskapsler før aktivering, og retter seg først og fremst mot besøkende fra fremtredende plattformer som Google, Facebook, Yahoo og Instagram, mens den ligger i dvale i andre tilfeller. Dessuten etablerer koden en informasjonskapsel i den besøkendes nettleser, og sikrer at popup-vinduet bare vises én gang per besøkende, og reduserer dermed sannsynligheten for at rapporter blir arkivert av den kompromitterte nettsideeieren.
Deretter omdirigerer skriptet besøkende til uredelige nettsteder, for eksempel falske captchaer, designet for å lure brukere til å aktivere nettleservarsler. Disse varslene oversvømmer deretter operativsystemets skrivebord med uønskede annonser.
Eksperter advarer om at Sign1 har gjennomgått en bemerkelsesverdig utvikling i løpet av de dokumenterte seks månedene av kampanjen, med infeksjoner som topper seg ved utgivelsen av nye versjoner av skadelig programvare.
Sign1 Malware har blitt vanskeligere å stoppe
Sign1 Malware har blitt oppdaget på over 39 000 nettsteder, mens den siste angrepsbølgen, som har pågått siden januar 2024, hevdet 2500 nettsteder. Kampanjen har utviklet seg over tid til å bli snikende og mer motstandsdyktig mot blokker, noe som er en bekymringsfull utvikling.
For å beskytte nettstedene sine mot angrepskampanjene, anbefales bedrifter å bruke et sterkt/langt administratorpassord og oppdatere plugins til siste versjon. Dessuten bør unødvendige tillegg fjernes, som kan fungere som en potensiell angrepsoverflate.
