Вредоносное ПО Sign1
Ранее неизвестная вредоносная программа под названием Sign1 за шесть месяцев успешно проникла на более чем 39 000 веб-сайтов, в результате чего посетители подвергались нежелательной переадресации и всплывающей рекламе. Злоумышленники внедряют вредоносное ПО в специальные HTML-виджеты и подлинные плагины, найденные на платформах WordPress. Вместо того, чтобы изменять подлинные файлы WordPress, они развертывают небезопасные сценарии Sign1 для выполнения своих гнусных действий.
Оглавление
Кампания по вредоносному ПО Sign1 скомпрометировала почти 40 000 сайтов
Опираясь на прошлые взломы WordPress, исследователи полагают, что проникновение вредоносного ПО Sign1, вероятно, использует двойную стратегию, включающую атаки методом грубой силы и использование уязвимостей плагинов для взлома защиты веб-сайта. После проникновения злоумышленники обычно используют пользовательские HTML-виджеты WordPress или устанавливают, казалось бы, законный плагин Simple Custom CSS и JS для встраивания злонамеренного кода JavaScript.
Исследование Sign1 показало, что для генерации динамических URL-адресов используется рандомизация по времени, которая меняется каждые 10 минут, чтобы помешать обнаружению. Домены регистрируются незадолго до использования в атаках, что гарантирует их отсутствие в блок-листах. Эти URL-адреса служат для получения дополнительных вредоносных сценариев, выполняемых в браузерах посетителей.
Первоначально размещенный на Namecheap, злоумышленники перенесли операции на HETZNER для хостинга и Cloudflare для сокрытия IP-адреса.
Вредоносная программа Sign1 перенаправляет жертв на сомнительные и небезопасные сайты
Вредоносная программа Sign1 внедряет код с кодировкой XOR и использует, казалось бы, случайные имена переменных, тем самым усложняя обнаружение для инструментов безопасности.
Этот злонамеренный код перед активацией проверяет конкретные рефереры и файлы cookie, в первую очередь ориентируясь на посетителей с известных платформ, таких как Google, Facebook, Yahoo и Instagram, а в других случаях бездействуя. Более того, код устанавливает файл cookie в браузере посетителя, гарантируя, что всплывающее окно появится только один раз для каждого посетителя, тем самым снижая вероятность подачи жалоб владельцем взломанного веб-сайта.
Впоследствии сценарий перенаправляет посетителей на мошеннические сайты, такие как поддельные капчи, предназначенные для того, чтобы обманом заставить пользователей включить уведомления браузера. Эти уведомления затем наводняют рабочий стол операционной системы нежелательной рекламой.
Эксперты предупреждают, что за задокументированные шесть месяцев кампании Sign1 претерпел заметную эволюцию, при этом пик заражения приходится на выпуск новых версий вредоносного ПО.
Вредоносную программу Sign1 стало труднее остановить
Вредоносная программа Sign1 была обнаружена на более чем 39 000 веб-сайтах, а последняя волна атак, продолжавшаяся с января 2024 года, затронула 2500 сайтов. Кампания со временем изменилась и стала более скрытной и устойчивой к блокам, что вызывает тревогу.
Чтобы защитить свои сайты от атак, компаниям рекомендуется использовать надежный/длинный пароль администратора и обновлять свои плагины до последней версии. Кроме того, следует удалить ненужные дополнения, которые могут выступать в качестве потенциальной поверхности для атаки.
