Sign1 Шкідливе програмне забезпечення
Раніше невідома операція зловмисного програмного забезпечення під назвою Sign1 успішно проникла на понад 39 000 веб-сайтів протягом шести місяців, що призвело до бомбардування відвідувачів небажаними перенаправленнями та спливаючою рекламою. Зловмисники цієї загрози імплантують зловмисне програмне забезпечення у налаштовані HTML-віджети та автентичні плагіни на платформах WordPress. Замість того, щоб змінювати справжні файли WordPress, вони розгортають небезпечні сценарії Sign1 для виконання своїх мерзенних дій.
Зміст
Кампанія зі зловмисним програмним забезпеченням Sign1 зламала майже 40 000 сайтів
Спираючись на минулі злами WordPress, дослідники вважають, що проникнення зловмисного програмного забезпечення Sign1, ймовірно, використовує подвійну стратегію, яка включає напади грубою силою та використання вразливостей плагінів для порушення захисту веб-сайту. Отримавши доступ, зловмисники зазвичай використовують спеціальні HTML-віджети WordPress або встановлюють, здавалося б, законні Simple Custom CSS і плагін JS для вбудовування зловмисного коду JavaScript.
Експертиза Sign1 оприлюднила використання рандомізації за часом для створення динамічних URL-адрес, які змінюються кожні 10 хвилин, щоб перешкодити виявленню. Домени реєструються незадовго до використання в атаках, що гарантує їх відсутність у списках блокування. Ці URL-адреси служать для отримання додаткових шкідливих сценаріїв, які виконуються в браузерах відвідувачів.
Спочатку розміщений на Namecheap, зловмисники перенесли операції на HETZNER для хостингу та Cloudflare для приховування IP-адрес.
Зловмисне програмне забезпечення Sign1 переносить жертв на сумнівні та небезпечні сайти
Зловмисне програмне забезпечення Sign1 впроваджує код із кодуванням XOR і використовує, здавалося б, випадкові назви змінних, тим самим ускладнюючи виявлення для інструментів безпеки.
Цей зловмисний код перевіряє певні реферери та файли cookie перед активацією, головним чином націлюючись на відвідувачів із відомих платформ, таких як Google, Facebook, Yahoo та Instagram, а в інших випадках не працює. Крім того, код встановлює файл cookie у веб-переглядачі відвідувача, гарантуючи, що спливаюче вікно з’являється лише один раз для кожного відвідувача, таким чином зменшуючи ймовірність подання звітів власником скомпрометованого веб-сайту.
Згодом сценарій перенаправляє відвідувачів на шахрайські сайти, наприклад підроблені капчі, призначені для того, щоб змусити користувачів увімкнути сповіщення браузера. Потім ці сповіщення заповнюють робочий стіл операційної системи небажаною рекламою.
Експерти попереджають, що Sign1 зазнав помітної еволюції за задокументовані шість місяців кампанії, причому пік зараження досягав після випуску нових версій шкідливого програмного забезпечення.
Зловмисне програмне забезпечення Sign1 стало важче зупинити
Зловмисне програмне забезпечення Sign1 було виявлено на понад 39 000 веб-сайтах, тоді як остання хвиля атаки, яка триває з січня 2024 року, забрала 2500 сайтів. Кампанія з часом еволюціонувала, щоб стати більш прихованою та стійкою до блокувань, що викликає тривогу.
Щоб захистити свої сайти від атак, компаніям рекомендується використовувати надійний/довгий пароль адміністратора та оновлювати свої плагіни до останньої версії. Крім того, слід видалити непотрібні додатки, які можуть служити потенційною поверхнею для атаки.
