Złośliwe oprogramowanie Sign1
Nieznana wcześniej operacja szkodliwego oprogramowania o nazwie Sign1 z powodzeniem przeniknęła do ponad 39 000 stron internetowych w ciągu sześciu miesięcy, powodując bombardowanie odwiedzających niechcianymi przekierowaniami i wyskakującymi reklamami. Sprawcy tego zagrożenia wszczepiają złośliwe oprogramowanie do dostosowanych widżetów HTML i autentycznych wtyczek znajdujących się na platformach WordPress. Zamiast zmieniać oryginalne pliki WordPress, wdrażają niebezpieczne skrypty Sign1 w celu wykonywania swoich nikczemnych działań.
Spis treści
Kampania dotycząca złośliwego oprogramowania Sign1 zainfekowała prawie 40 000 witryn
Opierając się na wcześniejszych naruszeniach WordPress, badacze uważają, że infiltracja złośliwego oprogramowania Sign1 prawdopodobnie wykorzystuje podwójną strategię obejmującą ataki metodą brute-force i wykorzystywanie luk w zabezpieczeniach wtyczek w celu naruszenia zabezpieczeń witryny internetowej. Po uzyskaniu dostępu sprawcy często wykorzystują niestandardowe widżety HTML WordPress lub instalują pozornie legalną wtyczkę Simple Custom CSS i JS w celu osadzenia złowrogiego kodu JavaScript.
Badanie Sign1 ujawniło wykorzystanie randomizacji opartej na czasie do generowania dynamicznych adresów URL, zmieniających się co 10 minut, aby udaremnić wykrycie. Domeny są rejestrowane na krótko przed wykorzystaniem w atakach, dzięki czemu nie znajdują się na listach zablokowanych. Te adresy URL służą do pozyskiwania dodatkowych złośliwych skryptów uruchamianych w przeglądarkach odwiedzających.
Początkowo hostowani na Namecheap, napastnicy przenieśli swoje operacje do HETZNER w celu hostingu i Cloudflare w celu ukrycia adresu IP.
Złośliwe oprogramowanie Sign1 przenosi ofiary na podejrzane i niebezpieczne strony
Złośliwe oprogramowanie Sign1 wstrzykuje kod zawierający kodowanie XOR i wykorzystuje pozornie losowe nazwy zmiennych, co komplikuje wykrywanie przez narzędzia bezpieczeństwa.
Ten złośliwy kod sprawdza przed aktywacją określone strony odsyłające i pliki cookie, obierając za cel głównie użytkowników z wiodących platform, takich jak Google, Facebook, Yahoo i Instagram, podczas gdy w innych przypadkach pozostaje uśpiony. Co więcej, kod tworzy plik cookie w przeglądarce odwiedzającego, dzięki czemu wyskakujące okienko pojawia się tylko raz na odwiedzającego, zmniejszając w ten sposób prawdopodobieństwo złożenia raportów przez właściciela zaatakowanej witryny.
Następnie skrypt przekierowuje odwiedzających do fałszywych witryn, takich jak fałszywe captcha, których celem jest oszukanie użytkowników w celu włączenia powiadomień przeglądarki. Powiadomienia te następnie zalewają pulpit systemu operacyjnego niechcianymi reklamami.
Eksperci ostrzegają, że Sign1 przeszedł zauważalną ewolucję w ciągu udokumentowanych sześciu miesięcy kampanii, a szczyt infekcji nastąpił po udostępnieniu nowych wersji szkodliwego oprogramowania.
Złośliwe oprogramowanie Sign1 stało się trudniejsze do zatrzymania
Złośliwe oprogramowanie Sign1 zostało wykryte w ponad 39 000 witryn internetowych, a ostatnia fala ataków, która trwa od stycznia 2024 r., pochłonęła 2500 witryn. Kampania ewoluowała z biegiem czasu, stając się bardziej dyskretna i odporna na bloki, co jest niepokojącym zjawiskiem.
Aby chronić swoje witryny przed kampaniami ataków, zaleca się firmom stosowanie silnego/długiego hasła administratora i aktualizację wtyczek do najnowszej wersji. Należy także usunąć niepotrzebne dodatki, które mogą stanowić potencjalną powierzchnię ataku.
