Sign1 Malware
Sign1 adlı daha önce bilinmeyen bir kötü amaçlı yazılım operasyonu, altı ay içinde 39.000'den fazla web sitesine başarıyla sızdı ve bu da ziyaretçilerin istenmeyen yönlendirmeler ve pop-up reklamlarla bombardımanına uğramasına neden oldu. Bu tehdidin failleri, kötü amaçlı yazılımı WordPress platformlarında bulunan özel HTML widget'larına ve orijinal eklentilere yerleştirir. Orijinal WordPress dosyalarını değiştirmek yerine, hain faaliyetlerini yürütmek için güvenli olmayan Sign1 komut dosyalarını dağıtırlar.
İçindekiler
Sign1 Kötü Amaçlı Yazılım Kampanyası Yaklaşık 40.000 Sitenin Güvenliğini Ele Geçirdi
Geçmişteki WordPress ihlallerinden yola çıkan araştırmacılar, Sign1 Kötü Amaçlı Yazılım sızıntısının muhtemelen web sitesi savunmasını ihlal etmek için kaba kuvvet saldırıları ve eklenti güvenlik açıklarından yararlanmayı içeren ikili bir strateji kullandığına inanıyor. Failler, giriş elde ettikten sonra genellikle WordPress özel HTML widget'larını kullanır veya kötü niyetli JavaScript kodunu gömmek için görünüşte meşru Basit Özel CSS ve JS eklentisini yükler.
Sign1'in incelenmesi, dinamik URL'ler oluşturmak için zamana dayalı rastgeleleştirmenin kullanıldığını ve tespitin engellenmesi için her 10 dakikada bir değiştirildiğini ortaya çıkardı. Alan adları, saldırılarda kullanılmadan kısa bir süre önce kaydedilerek, engellenenler listelerinde yer almamaları sağlanır. Bu URL'ler, ziyaretçilerin tarayıcılarında çalıştırılan ek kötü amaçlı komut dosyalarının temin edilmesine hizmet eder.
Başlangıçta Namecheap'te barındırılan saldırganlar, operasyonlarını barındırma için HETZNER'e ve IP adresi gizleme için Cloudflare'e taşıdı.
Sign1 Kötü Amaçlı Yazılımı Kurbanları Şüpheli ve Güvenli Olmayan Sitelere Götürüyor
Sign1 Kötü Amaçlı Yazılımı, XOR kodlamasına sahip kod enjekte eder ve görünüşte rastgele değişken adları kullanır, böylece güvenlik araçlarının tespitini zorlaştırır.
Bu kötü niyetli kod, etkinleştirmeden önce belirli yönlendirenleri ve çerezleri kontrol eder; öncelikle Google, Facebook, Yahoo ve Instagram gibi önde gelen platformlardan gelen ziyaretçileri hedef alırken diğer durumlarda hareketsiz kalır. Ayrıca kod, ziyaretçinin tarayıcısında bir çerez oluşturarak açılır pencerenin ziyaretçi başına yalnızca bir kez görünmesini sağlar ve böylece güvenliği ihlal edilen web sitesi sahibi tarafından rapor sunulması olasılığını azaltır.
Daha sonra komut dosyası, ziyaretçileri, kullanıcıları tarayıcı bildirimlerini etkinleştirmeye kandırmak için tasarlanmış sahte captcha'lar gibi sahte sitelere yönlendirir. Bu bildirimler daha sonra işletim sistemi masaüstünü istenmeyen reklamlarla doldurur.
Uzmanlar, Sign1'in, kampanyanın belgelenen altı ayı boyunca dikkate değer bir evrim geçirdiğini ve kötü amaçlı yazılımın yeni sürümlerinin piyasaya sürülmesiyle bulaşmaların zirveye ulaştığı konusunda uyarıyor.
Sign1 Kötü Amaçlı Yazılımının Durdurulması Daha Zor Hale Geldi
Sign1 Kötü Amaçlı Yazılımı 39.000'den fazla web sitesinde tespit edilirken, Ocak 2024'ten bu yana devam eden son saldırı dalgası 2.500 siteyi ele geçirdi. Harekat zamanla daha gizli ve bloklara karşı daha dayanıklı hale gelecek şekilde gelişti ve bu endişe verici bir gelişme.
Sitelerini saldırı kampanyalarına karşı korumak için şirketlerin güçlü/uzun yönetici şifresi kullanmaları ve eklentilerini en son sürüme güncellemeleri önerilir. Ayrıca potansiyel bir saldırı yüzeyi görevi görebilecek gereksiz eklentilerin de kaldırılması gerekir.
