Sign1 มัลแวร์
การดำเนินการของมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ชื่อ Sign1 ได้ประสบความสำเร็จในการแทรกซึมเว็บไซต์มากกว่า 39,000 แห่งภายในหกเดือน ส่งผลให้ผู้เยี่ยมชมถูกโจมตีด้วยการเปลี่ยนเส้นทางและโฆษณาป๊อปอัปที่ไม่ต้องการ ผู้กระทำผิดของภัยคุกคามนี้ฝังมัลแวร์ลงในวิดเจ็ต HTML ที่ปรับแต่งและปลั๊กอินของแท้ที่พบในแพลตฟอร์ม WordPress แทนที่จะแก้ไขไฟล์ WordPress ของแท้ พวกเขาใช้สคริปต์ Sign1 ที่ไม่ปลอดภัยเพื่อดำเนินกิจกรรมที่ชั่วร้าย
สารบัญ
แคมเปญมัลแวร์ Sign1 ได้บุกรุกไซต์เกือบ 40,000 แห่ง
จากการละเมิด WordPress ในอดีต นักวิจัยเชื่อว่าการแทรกซึมของมัลแวร์ Sign1 น่าจะใช้กลยุทธ์สองประการที่เกี่ยวข้องกับการโจมตีแบบดุร้ายและการใช้ประโยชน์จากช่องโหว่ของปลั๊กอินเพื่อละเมิดการป้องกันเว็บไซต์ เมื่อเข้ามาแล้ว ผู้กระทำผิดมักใช้วิดเจ็ต HTML แบบกำหนดเองของ WordPress หรือติดตั้งปลั๊กอิน Simple Custom CSS และ JS ที่ดูเหมือนถูกต้องตามกฎหมายเพื่อฝังโค้ด JavaScript ที่ประสงค์ร้าย
การตรวจสอบ Sign1 ได้เผยให้เห็นถึงการใช้การสุ่มตามเวลาสำหรับการสร้าง URL แบบไดนามิก โดยจะเปลี่ยนแปลงทุกๆ 10 นาทีเพื่อป้องกันการตรวจจับ โดเมนได้รับการจดทะเบียนไม่นานก่อนที่จะนำไปใช้ในการโจมตี ทำให้มั่นใจได้ว่าโดเมนจะไม่อยู่ในรายการบล็อก URL เหล่านี้ทำหน้าที่จัดหาสคริปต์ที่เป็นอันตรายเพิ่มเติมที่ทำงานภายในเบราว์เซอร์ของผู้เยี่ยมชม
ผู้โจมตีได้ย้ายการดำเนินงานไปยัง HETZNER เพื่อโฮสต์และ Cloudflare สำหรับการปกปิดที่อยู่ IP โดยเริ่มแรกโฮสต์บน Namecheap
มัลแวร์ Sign1 พาเหยื่อไปยังไซต์ที่น่าสงสัยและไม่ปลอดภัย
มัลแวร์ Sign1 แทรกโค้ดที่มีการเข้ารหัส XOR และใช้ชื่อตัวแปรที่ดูเหมือนสุ่ม ดังนั้นจึงทำให้การตรวจจับเครื่องมือรักษาความปลอดภัยมีความซับซ้อน
โค้ดที่เป็นอันตรายนี้ดำเนินการตรวจสอบผู้อ้างอิงและคุกกี้เฉพาะก่อนเปิดใช้งาน โดยกำหนดเป้าหมายไปที่ผู้เยี่ยมชมจากแพลตฟอร์มที่โดดเด่นเช่น Google, Facebook, Yahoo และ Instagram เป็นหลัก ในขณะที่ไม่ได้ใช้งานในกรณีอื่น ๆ นอกจากนี้ โค้ดยังสร้างคุกกี้บนเบราว์เซอร์ของผู้เข้าชม เพื่อให้แน่ใจว่าป๊อปอัปจะปรากฏเพียงครั้งเดียวต่อผู้เข้าชม 1 คน ซึ่งจะช่วยลดโอกาสที่เจ้าของเว็บไซต์ที่ถูกบุกรุกจะยื่นรายงาน
ต่อจากนั้น สคริปต์จะเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์หลอกลวง เช่น captcha ปลอม ซึ่งออกแบบมาเพื่อหลอกลวงผู้ใช้ให้เปิดใช้งานการแจ้งเตือนของเบราว์เซอร์ การแจ้งเตือนเหล่านี้จะทำให้เดสก์ท็อปของระบบปฏิบัติการเต็มไปด้วยโฆษณาที่ไม่ต้องการ
ผู้เชี่ยวชาญเตือนว่า Sign1 มีการพัฒนาที่โดดเด่นในช่วงหกเดือนของการรณรงค์ โดยการติดเชื้อจะถึงจุดสูงสุดเมื่อมีการเปิดตัวมัลแวร์เวอร์ชันใหม่
มัลแวร์ Sign1 กลายเป็นเรื่องยากที่จะหยุดยั้ง
ตรวจพบมัลแวร์ Sign1 บนเว็บไซต์มากกว่า 39,000 แห่ง ในขณะที่ระลอกการโจมตีล่าสุดซึ่งเริ่มดำเนินการตั้งแต่เดือนมกราคม 2567 อ้างสิทธิ์ในไซต์ 2,500 แห่ง แคมเปญได้รับการพัฒนาเมื่อเวลาผ่านไปเพื่อให้มีความซ่อนตัวและมีความยืดหยุ่นมากขึ้นในการบล็อก ซึ่งเป็นการพัฒนาที่น่ากังวล
เพื่อปกป้องไซต์ของตนจากแคมเปญการโจมตี บริษัทต่างๆ ควรใช้รหัสผ่านผู้ดูแลระบบที่รัดกุม/ยาว และอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุด นอกจากนี้ ควรลบส่วนเสริมที่ไม่จำเป็นออก ซึ่งอาจทำหน้าที่เป็นพื้นที่การโจมตีได้
