Sign1 Zlonamerna programska oprema
Prej neznana operacija zlonamerne programske opreme, imenovana Sign1, se je v šestih mesecih uspešno infiltrirala na več kot 39.000 spletnih mest, zaradi česar so bili obiskovalci bombardirani z neželenimi preusmeritvami in pojavnimi oglasi. Storilci te grožnje vsadijo zlonamerno programsko opremo v prilagojene pripomočke HTML in pristne vtičnike, ki jih najdemo na platformah WordPress. Namesto da bi spremenili pristne datoteke WordPress, uvedejo nevarne skripte Sign1 za izvajanje svojih nečednih dejavnosti.
Kazalo
Zlonamerna programska oprema Sign1 je ogrozila skoraj 40.000 spletnih mest
Na podlagi preteklih kršitev WordPressa raziskovalci menijo, da infiltracija zlonamerne programske opreme Sign1 verjetno uporablja dvojno strategijo, ki vključuje napade s surovo silo in izkoriščanje ranljivosti vtičnikov za kršitev obrambe spletnega mesta. Po pridobitvi vstopa storilci običajno uporabijo WordPressove pripomočke HTML po meri ali namestijo na videz legitimen vtičnik Simple Custom CSS in JS za vdelavo zlonamerne kode JavaScript.
Examination of Sign1 je razkril svojo uporabo časovne naključnosti za generiranje dinamičnih URL-jev, ki se spreminjajo vsakih 10 minut, da preprečijo zaznavanje. Domene so registrirane tik pred uporabo v napadih, kar zagotavlja, da ostanejo odsotne s seznamov blokiranih. Ti URL-ji služijo za pridobivanje dodatnih zlonamernih skriptov, ki se izvajajo v brskalnikih obiskovalcev.
Napadalci so operacije, ki so bile prvotno gostovane na Namecheap, preselili na HETZNER za gostovanje in Cloudflare za prikrivanje naslovov IP.
Zlonamerna programska oprema Sign1 odpelje žrtve na dvomljiva in nevarna spletna mesta
Zlonamerna programska oprema Sign1 vstavi kodo s kodiranjem XOR in uporablja na videz naključna imena spremenljivk, s čimer oteži odkrivanje za varnostna orodja.
Ta zlonamerna koda pred aktivacijo izvaja preverjanja za določene napotitelje in piškotke, pri čemer cilja predvsem na obiskovalce z uglednih platform, kot so Google, Facebook, Yahoo in Instagram, medtem ko v drugih primerih miruje. Poleg tega koda vzpostavi piškotek v brskalniku obiskovalca in zagotovi, da se pojavno okno prikaže samo enkrat na obiskovalca, s čimer se zmanjša verjetnost, da bi lastnik ogroženega spletnega mesta vložil poročila.
Nato skript preusmeri obiskovalce na goljufiva spletna mesta, kot so ponarejeni captcha, namenjeni zavajanju uporabnikov, da omogočijo obvestila brskalnika. Ta obvestila nato preplavijo namizje operacijskega sistema z neželenimi oglasi.
Strokovnjaki opozarjajo, da je Sign1 v dokumentiranih šestih mesecih kampanje doživel opazen razvoj, pri čemer so okužbe dosegle vrhunec ob izdaji novih različic zlonamerne programske opreme.
Zlonamerno programsko opremo Sign1 je postalo težje zaustaviti
Zlonamerna programska oprema Sign1 je bila odkrita na več kot 39.000 spletnih mestih, medtem ko je zadnji val napadov, ki traja od januarja 2024, zahteval 2500 spletnih mest. Kampanja se je sčasoma razvila, da je postala bolj prikrita in bolj odporna na bloke, kar je zaskrbljujoč razvoj.
Podjetjem svetujemo, da za zaščito svojih spletnih mest pred napadalnimi kampanjami uporabljajo močno/dolgo skrbniško geslo in posodobijo svoje vtičnike na najnovejšo različico. Prav tako je treba odstraniti nepotrebne dodatke, ki lahko delujejo kot potencialna površina za napad.
