Sign1 Malware
Një operacion malware i panjohur më parë i quajtur Sign1 ka infiltruar me sukses më shumë se 39,000 faqe interneti brenda gjashtë muajve, duke rezultuar në bombardimin e vizitorëve me ridrejtime të padëshiruara dhe reklama popup. Autorët e këtij kërcënimi implantojnë malware në miniaplikacionet e përshtatura HTML dhe shtojcat autentike që gjenden në platformat e WordPress. Në vend që të ndryshojnë skedarët e vërtetë të WordPress, ata vendosin skriptet e pasigurta Sign1 për të ekzekutuar aktivitetet e tyre të mbrapshta.
Tabela e Përmbajtjes
Fushata Sign1 Malware ka komprometuar gati 40,000 sajte
Duke u mbështetur nga shkeljet e kaluara të WordPress, studiuesit besojnë se infiltrimi Sign1 Malware ka të ngjarë të përdorë një strategji të dyfishtë që përfshin sulme me forcë brutale dhe shfrytëzimin e dobësive të shtojcave për të shkelur mbrojtjen e faqes në internet. Pas hyrjes, autorët zakonisht përdorin miniaplikacionet e personalizuara HTML të WordPress ose instalojnë shtojcën në dukje të ligjshme Simple Custom CSS dhe JS për të futur kodin keqdashës JavaScript.
Ekzaminimi i Sign1 ka zbuluar përdorimin e tij të rastësishme të bazuar në kohë për gjenerimin e URL-ve dinamike, duke ndryshuar çdo 10 minuta për të penguar zbulimin. Domenet regjistrohen pak para përdorimit në sulme, duke u siguruar që ato të mungojnë në listat e bllokimit. Këto URL shërbejnë për të siguruar skripte të tjera me qëllim të keq të ekzekutuar brenda shfletuesve të vizitorëve.
Fillimisht të organizuar në Namecheap, sulmuesit migruan operacionet në HETZNER për pritje dhe Cloudflare për fshehjen e adresës IP.
Malware Sign1 i çon viktimat në sajte të dyshimta dhe të pasigurta
Malware Sign1 injekton kodin që përmban kodimin XOR dhe përdor emra në dukje të rastësishme të variablave, duke e komplikuar kështu zbulimin për mjetet e sigurisë.
Ky kod keqdashës kryen kontrolle për referues dhe skedarë specifikë përpara aktivizimit, duke synuar kryesisht vizitorët nga platforma të shquara si Google, Facebook, Yahoo dhe Instagram, ndërsa në raste të tjera janë të fjetura. Për më tepër, kodi krijon një cookie në shfletuesin e vizitorit, duke siguruar që dritarja kërcyese të shfaqet vetëm një herë për vizitor, duke reduktuar kështu mundësinë e paraqitjes së raporteve nga pronari i faqes së internetit të komprometuar.
Më pas, skripti i ridrejton vizitorët në sajte mashtruese, të tilla si kapça të falsifikuara, të krijuara për të mashtruar përdoruesit për të mundësuar njoftimet e shfletuesit. Këto njoftime më pas përmbytin desktopin e sistemit operativ me reklama të padëshiruara.
Ekspertët paralajmërojnë se Sign1 ka pësuar një evolucion të dukshëm gjatë gjashtë muajve të dokumentuar të fushatës, me infeksione që arrijnë kulmin pas lëshimit të versioneve të reja të malware.
Malware Sign1 është bërë më e vështirë për t’u ndalur
Malware Sign1 është zbuluar në mbi 39,000 faqe interneti, ndërsa vala e fundit e sulmit, e cila ka nisur që nga janari 2024, pretendoi 2,500 sajte. Fushata ka evoluar me kalimin e kohës për t'u bërë më e fshehtë dhe më elastike ndaj blloqeve, gjë që është një zhvillim shqetësues.
Për të mbrojtur faqet e tyre nga fushatat e sulmit, kompanitë këshillohen të përdorin një fjalëkalim të fortë/të gjatë administratori dhe të përditësojnë shtojcat e tyre në versionin më të fundit. Gjithashtu, duhet të hiqen shtesat e panevojshme, të cilat mund të veprojnë si një sipërfaqe e mundshme sulmi.
