Sign1-malware
Een voorheen onbekende malware-operatie genaamd Sign1 heeft binnen zes maanden met succes meer dan 39.000 websites geïnfiltreerd, waardoor bezoekers werden gebombardeerd met ongewenste omleidingen en pop-upadvertenties. De daders van deze dreiging implanteren de malware in op maat gemaakte HTML-widgets en authentieke plug-ins die te vinden zijn op WordPress-platforms. In plaats van de echte WordPress-bestanden te wijzigen, gebruiken ze de onveilige Sign1-scripts om hun snode activiteiten uit te voeren.
Inhoudsopgave
De Sign1-malwarecampagne heeft bijna 40.000 sites gecompromitteerd
Op basis van eerdere inbreuken op WordPress zijn onderzoekers van mening dat de infiltratie van Sign1 Malware waarschijnlijk een dubbele strategie hanteert: brute force-aanvallen en het exploiteren van kwetsbaarheden in plug-ins om de verdediging van websites te doorbreken. Wanneer ze binnenkomen, maken daders vaak gebruik van aangepaste HTML-widgets van WordPress of installeren ze de ogenschijnlijk legitieme Simple Custom CSS- en JS-plug-in om kwaadaardige JavaScript-code in te sluiten.
Onderzoek van Sign1 heeft het gebruik van op tijd gebaseerde randomisatie onthuld voor het genereren van dynamische URL's, die elke 10 minuten worden gewijzigd om detectie te dwarsbomen. De domeinen worden kort voordat ze bij aanvallen worden gebruikt geregistreerd, zodat ze niet op de blokkeerlijsten voorkomen. Deze URL's dienen om extra kwaadaardige scripts aan te schaffen die in de browsers van bezoekers worden uitgevoerd.
Aanvankelijk gehost op Namecheap, migreerden de aanvallers hun activiteiten naar HETZNER voor hosting en Cloudflare voor het verbergen van IP-adressen.
De Sign1-malware brengt slachtoffers naar dubieuze en onveilige sites
De Sign1-malware injecteert code met XOR-codering en maakt gebruik van schijnbaar willekeurige namen van variabelen, waardoor de detectie voor beveiligingstools wordt bemoeilijkt.
Deze kwaadaardige code voert controles uit op specifieke verwijzers en cookies voordat deze worden geactiveerd, en richt zich voornamelijk op bezoekers van prominente platforms zoals Google, Facebook, Yahoo en Instagram, terwijl deze in andere gevallen sluimerend blijft. Bovendien plaatst de code een cookie in de browser van de bezoeker, waardoor de pop-up slechts één keer per bezoeker verschijnt, waardoor de kans kleiner wordt dat er rapporten worden ingediend door de gecompromitteerde website-eigenaar.
Vervolgens leidt het script bezoekers door naar frauduleuze sites, zoals valse captcha's, die zijn ontworpen om gebruikers te misleiden zodat ze browsermeldingen mogelijk maken. Deze meldingen overspoelen vervolgens het bureaublad van het besturingssysteem met ongewenste advertenties.
Deskundigen waarschuwen dat Sign1 een opmerkelijke evolutie heeft ondergaan gedurende de gedocumenteerde zes maanden van de campagne, waarbij het aantal infecties hun hoogtepunt bereikte na de release van nieuwe versies van de malware.
De Sign1-malware is moeilijker te stoppen geworden
De Sign1-malware is op meer dan 39.000 websites gedetecteerd, terwijl de laatste aanvalsgolf, die sinds januari 2024 aan de gang is, 2.500 sites claimde. De campagne is in de loop van de tijd geëvolueerd om onopvallender en beter bestand tegen blokkades te worden, wat een zorgwekkende ontwikkeling is.
Om hun sites tegen de aanvalscampagnes te beschermen, wordt bedrijven geadviseerd een sterk/lang beheerderswachtwoord te gebruiken en hun plug-ins bij te werken naar de nieuwste versie. Ook moeten onnodige add-ons worden verwijderd, die kunnen fungeren als een potentieel aanvalsoppervlak.
