Sign1 Malware
Predtým neznáma malvérová operácia s názvom Sign1 úspešne infiltrovala viac ako 39 000 webových stránok v priebehu šiestich mesiacov, čo viedlo k tomu, že návštevníci boli bombardovaní nechcenými presmerovaniami a kontextovými reklamami. Páchatelia tejto hrozby implantujú malvér do prispôsobených miniaplikácií HTML a autentických doplnkov, ktoré sa nachádzajú na platformách WordPress. Namiesto toho, aby zmenili originálne súbory WordPress, nasadzujú nebezpečné skripty Sign1 na vykonávanie svojich hanebných aktivít.
Obsah
Kampaň Sign1 Malware skompromitovala takmer 40 000 stránok
Na základe predchádzajúcich porušení WordPress sa výskumníci domnievajú, že infiltrácia malvéru Sign1 pravdepodobne využíva dvojitú stratégiu zahŕňajúcu útoky hrubou silou a využívanie zraniteľností doplnkov na narušenie ochrany webových stránok. Po získaní vstupu páchatelia bežne používajú vlastné widgety HTML WordPress alebo si nainštalujú zdanlivo legitímny doplnok Simple Custom CSS a JS na vloženie škodlivého kódu JavaScript.
Examination of Sign1 odhalilo využitie časovej randomizácie na generovanie dynamických adries URL, ktoré sa každých 10 minút menia, aby zmarili detekciu. Domény sú zaregistrované krátko pred použitím pri útokoch, čím sa zabezpečí, že zostanú neprítomné v zoznamoch blokovaných domén. Tieto adresy URL slúžia na získanie ďalších škodlivých skriptov spúšťaných v prehliadačoch návštevníkov.
Útočníci, ktorí boli pôvodne hosťovaní na Namecheap, migrovali operácie na HETZNER na hosťovanie a Cloudflare na utajenie IP adries.
Malvér Sign1 privádza obete na pochybné a nebezpečné stránky
Sign1 Malware vkladá kód s kódovaním XOR a využíva zdanlivo náhodné názvy premenných, čím komplikuje detekciu pre bezpečnostné nástroje.
Tento zlomyseľný kód vykonáva pred aktiváciou kontroly konkrétnych sprostredkovateľov a súborov cookie, pričom sa primárne zameriava na návštevníkov z prominentných platforiem, ako sú Google, Facebook, Yahoo a Instagram, zatiaľ čo v iných prípadoch sú nečinní. Okrem toho kód vytvorí súbor cookie v prehliadači návštevníka, čím zaistí, že sa vyskakovacie okno zobrazí iba raz na návštevníka, čím sa zníži pravdepodobnosť, že vlastník napadnutej webovej stránky podá hlásenia.
Následne skript presmeruje návštevníkov na podvodné stránky, ako sú falošné captcha, ktoré majú oklamať používateľov, aby povolili upozornenia prehliadača. Tieto upozornenia potom zaplavia plochu operačného systému nežiaducimi reklamami.
Odborníci varujú, že Sign1 prešiel počas zdokumentovaných šiestich mesiacov kampane výrazným vývojom, pričom infekcie vrcholia po vydaní nových verzií malvéru.
Zastaviť malvér Sign1 je čoraz ťažšie
Malvér Sign1 bol zistený na viac ako 39 000 webových stránkach, zatiaľ čo posledná vlna útokov, ktorá prebieha od januára 2024, si vyžiadala 2 500 stránok. Kampaň sa postupom času vyvíjala, aby sa stala nenápadnejšou a odolnejšou voči blokom, čo je znepokojujúci vývoj.
Na ochranu svojich stránok pred útočnými kampaňami sa spoločnostiam odporúča používať silné/dlhé heslo správcu a aktualizovať svoje doplnky na najnovšiu verziu. Tiež by sa mali odstrániť nepotrebné doplnky, ktoré môžu pôsobiť ako potenciálny útočný povrch.
