Sign1 Malware
O operațiune malware necunoscută anterior, numită Sign1, a infiltrat cu succes peste 39.000 de site-uri web în decurs de șase luni, ceea ce a dus la bombardarea vizitatorilor cu redirecționări nedorite și reclame pop-up. Făptuitorii acestei amenințări implantează malware-ul în widget-uri HTML adaptate și plugin-uri autentice găsite pe platformele WordPress. În loc să modifice fișierele WordPress autentice, ei implementează scripturile nesigure Sign1 pentru a-și executa activitățile nefaste.
Cuprins
Campania de malware Sign1 a compromis aproape 40.000 de site-uri
Pornind de la încălcările anterioare ale WordPress, cercetătorii cred că infiltrarea Sign1 Malware utilizează probabil o strategie dublă care implică atacuri cu forță brută și exploatarea vulnerabilităților pluginurilor pentru a încălca apărarea site-ului. La obținerea accesului, făptuitorii folosesc în mod obișnuit widget-uri HTML personalizate WordPress sau instalează pluginul CSS și JS simplu personalizat aparent legitim pentru a încorpora cod JavaScript răuvoitor.
Examinarea Sign1 a dezvăluit utilizarea randomizării bazate pe timp pentru generarea de adrese URL dinamice, modificându-se la fiecare 10 minute pentru a împiedica detectarea. Domeniile sunt înregistrate cu puțin timp înainte de utilizare în atacuri, asigurându-se că rămân absente din listele de blocare. Aceste adrese URL servesc pentru a procura scripturi rău intenționate suplimentare executate în browserele vizitatorilor.
Găzduit inițial pe Namecheap, atacatorii au migrat operațiunile către HETZNER pentru găzduire și Cloudflare pentru ascunderea adresei IP.
Programul malware Sign1 duce victimele pe site-uri dubioase și nesigure
Malware Sign1 injectează cod cu codificare XOR și utilizează nume de variabile aparent aleatorii, complicând astfel detectarea instrumentelor de securitate.
Acest cod răuvoitor efectuează verificări pentru anumiți referreri și cookie-uri înainte de activare, vizând în primul rând vizitatorii de pe platforme proeminente precum Google, Facebook, Yahoo și Instagram, în timp ce în alte cazuri rămâne latent. Mai mult, codul stabilește un cookie pe browser-ul vizitatorului, asigurând că pop-up-ul apare o singură dată pe vizitator, reducând astfel probabilitatea ca sesizările să fie depuse de proprietarul site-ului compromis.
Ulterior, scriptul redirecționează vizitatorii către site-uri frauduloase, cum ar fi captch-uri contrafăcute, concepute pentru a înșela utilizatorii să activeze notificările browserului. Aceste notificări inundă apoi desktopul sistemului de operare cu reclame nedorite.
Experții avertizează că Sign1 a suferit o evoluție notabilă de-a lungul celor șase luni documentate de campanie, infecțiile atingând vârful la lansarea noilor versiuni ale malware-ului.
Programul malware Sign1 a devenit mai dificil de oprit
Malware-ul Sign1 a fost detectat pe peste 39.000 de site-uri web, în timp ce cel mai recent val de atacuri, care a început din ianuarie 2024, a revendicat 2.500 de site-uri. Campania a evoluat de-a lungul timpului pentru a deveni mai ascunsă și mai rezistentă la blocaje, ceea ce este o dezvoltare îngrijorătoare.
Pentru a-și proteja site-urile împotriva campaniilor de atac, companiile sunt sfătuite să folosească o parolă de administrator puternică/lungă și să își actualizeze pluginurile la cea mai recentă versiune. De asemenea, ar trebui eliminate suplimentele inutile, care pot acționa ca o potențială suprafață de atac.
