Sign1 Malware
En tidigare okänd skadlig programvara vid namn Sign1 har framgångsrikt infiltrerat mer än 39 000 webbplatser inom sex månader, vilket resulterat i att besökare bombarderas med oönskade omdirigeringar och popup-annonser. Förövarna av detta hot implanterar skadlig programvara i skräddarsydda HTML-widgets och autentiska plugins som finns på WordPress-plattformar. Istället för att ändra de äkta WordPress-filerna distribuerar de de osäkra Sign1-skripten för att utföra sina skändliga aktiviteter.
Innehållsförteckning
Sign1 Malware-kampanjen har äventyrat nästan 40 000 webbplatser
Utifrån tidigare WordPress-intrång tror forskare att Sign1 Malware-infiltrationen sannolikt använder en dubbel strategi som involverar brute force-angrepp och utnyttjande av plugin-sårbarheter för att bryta mot webbplatsförsvar. När förövarna har kommit in använder de vanligtvis WordPress anpassade HTML-widgets eller installerar det till synes legitima Simple Custom CSS- och JS-plugin för att bädda in skadlig JavaScript-kod.
Undersökning av Sign1 har avslöjat dess användning av tidsbaserad randomisering för att generera dynamiska webbadresser, som ändras var tionde minut för att förhindra upptäckt. Domänerna registreras kort innan de används i attacker, vilket säkerställer att de förblir frånvarande från blocklistor. Dessa webbadresser tjänar till att skaffa ytterligare skadliga skript som körs i besökarnas webbläsare.
Ursprungligen värd på Namecheap, angriparna migrerade verksamheten till HETZNER för hosting och Cloudflare för att dölja IP-adresser.
Sign1 Malware tar offer till tvivelaktiga och osäkra webbplatser
Sign1 Malware injicerar kod med XOR-kodning och använder till synes slumpmässiga variabelnamn, vilket komplicerar upptäckten av säkerhetsverktyg.
Denna illvilliga kod utför kontroller av specifika hänvisningsadresser och cookies före aktivering, främst inriktad på besökare från framstående plattformar som Google, Facebook, Yahoo och Instagram, medan den ligger vilande i andra fall. Dessutom upprättar koden en cookie i besökarens webbläsare, vilket säkerställer att popup-fönstret endast visas en gång per besökare, vilket minskar sannolikheten för att rapporter lämnas av den intrångade webbplatsägaren.
Därefter omdirigerar skriptet besökare till bedrägliga webbplatser, som förfalskade captchas, utformade för att lura användare att aktivera webbläsaraviseringar. Dessa meddelanden översvämmer sedan operativsystemets skrivbord med oönskade annonser.
Experter varnar för att Sign1 har genomgått en anmärkningsvärd utveckling under de dokumenterade sex månaderna av kampanjen, med infektioner som toppar vid lanseringen av nya versioner av skadlig programvara.
Sign1 Malware har blivit svårare att stoppa
Sign1 Malware har upptäckts på över 39 000 webbplatser, medan den senaste attackvågen, som har pågått sedan januari 2024, gjorde anspråk på 2 500 webbplatser. Kampanjen har utvecklats över tid för att bli smygande och mer motståndskraftig mot block, vilket är en oroande utveckling.
För att skydda sina webbplatser mot attackkampanjer, rekommenderas företag att använda ett starkt/långt administratörslösenord och uppdatera sina plugins till den senaste versionen. Dessutom bör onödiga tillägg tas bort, vilket kan fungera som en potentiell attackyta.
