Sign1 恶意软件

一种名为 Sign1 的先前未知的恶意软件操作在六个月内成功渗透了 39,000 多个网站，导致访问者受到不需要的重定向和弹出广告的轰炸。此威胁的肇事者将恶意软件植入定制的 HTML 小部件和 WordPress 平台上的真实插件中。他们没有改变真正的 WordPress 文件，而是部署不安全的 Sign1 脚本来执行他们的邪恶活动。

Sign1 恶意软件活动已危害近 40,000 个站点

根据过去的 WordPress 漏洞，研究人员认为 Sign1 恶意软件渗透可能采用双重策略，包括暴力攻击和利用插件漏洞来破坏网站防御。获得访问权限后，犯罪者通常会利用 WordPress 自定义 HTML 小部件或安装看似合法的简单自定义 CSS 和 JS 插件来嵌入恶意 JavaScript 代码。

对 Sign1 的检查揭示了其利用基于时间的随机化来生成动态 URL，每 10 分钟更改一次以阻止检测。这些域名在用于攻击之前不久进行注册，确保它们不出现在阻止列表中。这些 URL 用于获取在访问者浏览器中执行的其他恶意脚本。

攻击者最初托管在 Namecheap 上，后来将操作迁移到 HETZNER 进行托管，迁移到 Cloudflare 进行 IP 地址隐藏。

Sign1 恶意软件将受害者带到可疑和不安全的网站

Sign1 恶意软件注入具有 XOR 编码的代码并利用看似随机的变量名称，从而使安全工具的检测变得复杂。

这种恶意代码会在激活前检查特定的引荐来源网址和 cookie，主要针对来自 Google、Facebook、Yahoo 和 Instagram 等知名平台的访问者，同时在其他情况下处于休眠状态。此外，该代码会在访问者的浏览器上建立一个 cookie，确保每个访问者仅出现一次弹出窗口，从而降低受感染网站所有者提交报告的可能性。

随后，该脚本将访问者重定向到欺诈网站，例如伪造的验证码，旨在欺骗用户启用浏览器通知。然后，这些通知会用不需要的广告淹没操作系统桌面。

专家警告说，Sign1 在记录的六个月的活动中经历了显着的演变，感染在新版本的恶意软件发布时达到顶峰。

Sign1 恶意软件变得更加难以阻止

Sign1 恶意软件已在超过 39,000 个网站上被检测到，而自 2024 年 1 月以来发生的最新一波攻击已导致 2,500 个网站被攻击。随着时间的推移，该活动已经变得更加隐蔽，对区块的抵抗力也更强，这是一个令人担忧的发展。

为了保护其网站免受攻击活动，建议公司使用强/长的管理员密码并将其插件更新到最新版本。此外，还应删除不必要的附加组件，因为它们可能成为潜在的攻击面。