Sign1 Malware

Ang isang dating hindi kilalang operasyon ng malware na pinangalanang Sign1 ay matagumpay na nakapasok sa higit sa 39,000 mga website sa loob ng anim na buwan, na nagreresulta sa mga bisita na binomba ng mga hindi gustong pag-redirect at mga popup na advertisement. Ang mga may kasalanan ng banta na ito ay itinatanim ang malware sa mga pinasadyang HTML widget at mga tunay na plugin na makikita sa mga platform ng WordPress. Sa halip na baguhin ang tunay na mga file ng WordPress, inilalagay nila ang mga hindi ligtas na Sign1 na script upang maisagawa ang kanilang mga kasuklam-suklam na aktibidad.

Nakompromiso ng Sign1 Malware Campaign ang Halos 40,000 Sites

Batay sa mga nakaraang paglabag sa WordPress, naniniwala ang mga mananaliksik na ang Sign1 Malware infiltration ay malamang na gumagamit ng dalawahang diskarte na kinasasangkutan ng malupit na puwersang pag-atake at ang pagsasamantala sa mga kahinaan ng plugin upang labagin ang mga depensa ng website. Sa pagpasok, karaniwang ginagamit ng mga salarin ang WordPress custom HTML widgets o i-install ang tila lehitimong Simple Custom CSS at JS na plugin upang mag-embed ng masamang JavaScript code.

Inihayag ng Pagsusuri sa Sign1 ang paggamit nito ng time-based na randomization para sa pagbuo ng mga dynamic na URL, na binabago bawat 10 minuto upang hadlangan ang pagtuklas. Ang mga domain ay nakarehistro sa ilang sandali bago ang paggamit sa mga pag-atake, tinitiyak na mananatili silang wala sa mga blocklist. Nagsisilbi ang mga URL na ito upang makakuha ng karagdagang mga nakakahamak na script na isinagawa sa loob ng mga browser ng mga bisita.

Sa simula ay naka-host sa Namecheap, ang mga assailants ay lumipat ng mga operasyon sa HETZNER para sa pagho-host at Cloudflare para sa pagtatago ng IP address.

Dinadala ng Sign1 Malware ang mga Biktima sa Mga Kaduda-dudang at Hindi Ligtas na Site

Ang Sign1 Malware ay nag-inject ng code na nagtatampok ng XOR encoding at gumagamit ng tila random na variable na mga pangalan, at sa gayon ay nagiging kumplikado ang pagtuklas para sa mga tool sa seguridad.

Ang masamang code na ito ay nagsasagawa ng mga pagsusuri para sa mga partikular na referrer at cookies bago ang pag-activate, pangunahing nagta-target ng mga bisita mula sa mga kilalang platform gaya ng Google, Facebook, Yahoo at Instagram, habang natutulog sa ibang mga pagkakataon. Bukod dito, nagtatatag ang code ng cookie sa browser ng bisita, tinitiyak na isang beses lang lilitaw ang popup sa bawat bisita, kaya binabawasan ang posibilidad na maihain ang mga ulat ng nakompromisong may-ari ng website.

Kasunod nito, nire-redirect ng script ang mga bisita sa mga mapanlinlang na site, tulad ng mga pekeng captcha, na idinisenyo upang linlangin ang mga user sa pagpapagana ng mga notification sa browser. Ang mga abiso na ito pagkatapos ay binabaha ang desktop ng operating system ng mga hindi gustong advertisement.

Nag-iingat ang mga eksperto na ang Sign1 ay sumailalim sa isang kapansin-pansing ebolusyon sa loob ng dokumentadong anim na buwan ng kampanya, na may mga impeksyon na dumarami sa paglabas ng mga bagong bersyon ng malware.

Ang Sign1 Malware ay Naging Mas Mahirap Ihinto

Natukoy ang Sign1 Malware sa mahigit 39,000 website, habang ang pinakahuling attack wave, na isinasagawa mula noong Enero 2024, ay umangkin ng 2,500 na site. Ang kampanya ay umunlad sa paglipas ng panahon upang maging mas patago at mas nababanat sa mga bloke, na isang nakababahala na pag-unlad.

Upang maprotektahan ang kanilang mga site laban sa mga kampanya sa pag-atake, pinapayuhan ang mga kumpanya na gumamit ng malakas/mahabang password ng administrator at i-update ang kanilang mga plugin sa pinakabagong bersyon. Gayundin, dapat na alisin ang mga hindi kinakailangang add-on, na maaaring kumilos bilang isang potensyal na pag-atake.