Sign1 Malware
Một hoạt động phần mềm độc hại chưa được biết đến trước đây có tên Sign1 đã xâm nhập thành công hơn 39.000 trang web trong vòng sáu tháng, khiến khách truy cập bị tấn công bởi các chuyển hướng và quảng cáo bật lên không mong muốn. Thủ phạm của mối đe dọa này đã cấy phần mềm độc hại vào các tiện ích HTML phù hợp và các plugin xác thực được tìm thấy trên nền tảng WordPress. Thay vì thay đổi các tệp WordPress chính hãng, chúng triển khai các tập lệnh Sign1 không an toàn để thực hiện các hoạt động bất chính của mình.
Mục lục
Chiến dịch phần mềm độc hại Sign1 đã xâm phạm gần 40.000 trang web
Rút ra từ các vụ vi phạm WordPress trước đây, các nhà nghiên cứu tin rằng việc xâm nhập Phần mềm độc hại Sign1 có thể sử dụng chiến lược kép liên quan đến các cuộc tấn công vũ phu và khai thác các lỗ hổng plugin để vi phạm hệ thống phòng thủ của trang web. Sau khi giành được quyền truy cập, thủ phạm thường sử dụng các tiện ích HTML tùy chỉnh của WordPress hoặc cài đặt plugin JS và CSS tùy chỉnh đơn giản có vẻ hợp pháp để nhúng mã JavaScript độc hại.
Việc kiểm tra Sign1 đã tiết lộ việc sử dụng ngẫu nhiên dựa trên thời gian để tạo URL động, thay đổi 10 phút một lần để ngăn chặn việc phát hiện. Các miền được đăng ký ngay trước khi sử dụng trong các cuộc tấn công, đảm bảo chúng không có trong danh sách chặn. Các URL này dùng để mua thêm các tập lệnh độc hại được thực thi trong trình duyệt của khách truy cập.
Ban đầu được lưu trữ trên Namecheap, những kẻ tấn công đã di chuyển hoạt động sang HETZNER để lưu trữ và Cloudflare để che giấu địa chỉ IP.
Phần mềm độc hại Sign1 đưa nạn nhân đến các trang web đáng ngờ và không an toàn
Phần mềm độc hại Sign1 chèn mã có tính năng mã hóa XOR và sử dụng các tên biến có vẻ ngẫu nhiên, do đó làm phức tạp việc phát hiện các công cụ bảo mật.
Mã độc hại này tiến hành kiểm tra các liên kết giới thiệu và cookie cụ thể trước khi kích hoạt, chủ yếu nhắm mục tiêu vào khách truy cập từ các nền tảng nổi bật như Google, Facebook, Yahoo và Instagram, trong khi không hoạt động trong các trường hợp khác. Hơn nữa, mã này sẽ thiết lập một cookie trên trình duyệt của khách truy cập, đảm bảo rằng cửa sổ bật lên chỉ xuất hiện một lần cho mỗi khách truy cập, do đó làm giảm khả năng chủ sở hữu trang web bị xâm nhập gửi báo cáo.
Sau đó, tập lệnh chuyển hướng khách truy cập đến các trang web lừa đảo, chẳng hạn như hình ảnh xác thực giả mạo, được thiết kế để đánh lừa người dùng kích hoạt thông báo trình duyệt. Những thông báo này sau đó sẽ tràn ngập màn hình hệ điều hành với các quảng cáo không mong muốn.
Các chuyên gia cảnh báo rằng Sign1 đã trải qua một quá trình phát triển đáng chú ý trong sáu tháng được ghi lại của chiến dịch, với mức lây nhiễm lên đến đỉnh điểm khi phát hành phiên bản mới của phần mềm độc hại.
Phần mềm độc hại Sign1 ngày càng khó ngăn chặn hơn
Phần mềm độc hại Sign1 đã được phát hiện trên hơn 39.000 trang web, trong khi làn sóng tấn công mới nhất, diễn ra từ tháng 1 năm 2024, đã tấn công 2.500 trang web. Chiến dịch này đã phát triển theo thời gian để trở nên lén lút hơn và linh hoạt hơn trước các lệnh chặn, đây là một sự phát triển đáng lo ngại.
Để bảo vệ trang web của họ trước các chiến dịch tấn công, các công ty nên sử dụng mật khẩu quản trị viên mạnh/dài và cập nhật plugin của họ lên phiên bản mới nhất. Ngoài ra, cần loại bỏ các tiện ích bổ sung không cần thiết vì chúng có thể hoạt động như một bề mặt tấn công tiềm năng.
