Sign1 Malware
Раније непозната операција малвера под називом Сигн1 успешно се инфилтрирала на више од 39.000 веб локација у року од шест месеци, што је резултирало бомбардовањем посетилаца нежељеним преусмеравањем и искачућим огласима. Починиоци ове претње усађују малвер у прилагођене ХТМЛ виџете и аутентичне додатке који се налазе на ВордПресс платформама. Уместо да мењају оригиналне датотеке ВордПресс-а, они примењују несигурне Сигн1 скрипте да би извршили своје злобне активности.
Преглед садржаја
Кампања за малвер Сигн1 угрозила је скоро 40.000 сајтова
Полазећи од ранијих кршења ВордПресс-а, истраживачи верују да инфилтрација злонамерног софтвера Сигн1 вероватно користи двоструку стратегију која укључује нападе грубом силом и искоришћавање рањивости додатака за кршење одбране веб сајта. Након што уђу, починиоци обично користе ВордПресс прилагођене ХТМЛ виџете или инсталирају наизглед легитиман Симпле Цустом ЦСС и ЈС додатак за уградњу злонамерног ЈаваСцрипт кода.
Испитивање Сигн1 је открило његову употребу насумичног одабира заснованог на времену за генерисање динамичких УРЛ адреса, које се мењају сваких 10 минута да би се спречило откривање. Домени се региструју непосредно пре коришћења у нападима, обезбеђујући да остану одсутни са листа блокираних. Ови УРЛ-ови служе за набавку додатних злонамерних скрипти које се извршавају у претраживачима посетилаца.
Првобитно хостовани на Намецхеап-у, нападачи су мигрирали операције на ХЕТЗНЕР за хостовање и Цлоудфларе за прикривање ИП адресе.
Малвер Сигн1 одводи жртве на сумњиве и несигурне локације
Малвер Сигн1 убацује код који садржи КСОР кодирање и користи наизглед насумична имена променљивих, чиме се компликује детекција безбедносним алатима.
Овај злонамерни код проверава одређене упућиваче и колачиће пре активације, првенствено циљајући посетиоце са истакнутих платформи као што су Гоогле, Фацебоок, Иахоо и Инстаграм, док је у другим случајевима неактиван. Штавише, код успоставља колачић у претраживачу посетиоца, обезбеђујући да се искачући прозор појави само једном по посетиоцу, чиме се смањује вероватноћа да ће компромитовани власник веб локације поднети извештаје.
Након тога, скрипта преусмерава посетиоце на лажне сајтове, као што су лажне цаптцха, дизајниране да преваре кориснике да омогуће обавештења претраживача. Ова обавештења затим преплављују радну површину оперативног система нежељеним рекламама.
Стручњаци упозоравају да је Сигн1 доживео значајну еволуцију током документованих шест месеци кампање, при чему су инфекције достигле врхунац након објављивања нових верзија малвера.
Малвер Сигн1 је све теже зауставити
Малвер Сигн1 је откривен на преко 39.000 веб локација, док је најновији талас напада, који је у току од јануара 2024. године, однео 2.500 сајтова. Кампања је временом еволуирала да би постала прикривенија и отпорнија на блокове, што је забрињавајући развој догађаја.
Да би заштитиле своје сајтове од кампања напада, компанијама се саветује да користе јаку/дугу администраторску лозинку и ажурирају своје додатке на најновију верзију. Такође, треба уклонити непотребне додатке, који могу деловати као потенцијална површина за напад.
