Sign1 惡意軟體

一種名為 Sign1 的先前未知的惡意軟體操作在六個月內成功滲透了 39,000 多個網站，導致訪客受到不必要的重定向和彈出廣告的轟炸。此威脅的肇事者將惡意軟體植入定制的 HTML 小部件和 WordPress 平台上的真實插件中。他們沒有改變真正的 WordPress 文件，而是部署不安全的 Sign1 腳本來執行他們的邪惡活動。

Sign1 惡意軟體活動已危害近 40,000 個站點

根據過去的 WordPress 漏洞，研究人員認為 Sign1 惡意軟體滲透可能採用雙重策略，包括暴力攻擊和利用外掛漏洞來破壞網站防禦。獲得存取權限後，犯罪者通常會利用 WordPress 自訂 HTML 小工具或安裝看似合法的簡單自訂 CSS 和 JS 外掛程式來嵌入惡意 JavaScript 程式碼。

對 Sign1 的檢查揭示了其利用基於時間的隨機化來產生動態 URL，每 10 分鐘更改一次以阻止檢測。這些網域在用於攻擊之前不久進行註冊，確保它們不會出現在封鎖清單中。這些 URL 用於取得在訪客瀏覽器中執行的其他惡意腳本。

攻擊者最初託管在 Namecheap 上，後來將操作遷移到 HETZNER 進行託管，遷移到 Cloudflare 進行 IP 位址隱藏。

Sign1 惡意軟體將受害者帶到可疑和不安全的網站

Sign1 惡意軟體注入具有 XOR 編碼的程式碼並利用看似隨機的變數名稱，從而使安全工具的檢測變得複雜。

這種惡意程式碼會在啟動前檢查特定的引薦來源網址和 cookie，主要針對來自 Google、Facebook、Yahoo 和 Instagram 等知名平台的訪客，同時在其他情況下處於休眠狀態。此外，程式碼會在訪客的瀏覽器上建立一個 cookie，確保每個訪客僅出現一次彈出窗口，從而降低受感染網站所有者提交報告的可能性。

隨後，該腳本將訪客重新導向到詐騙網站，例如偽造的驗證碼，旨在欺騙用戶啟用瀏覽器通知。然後，這些通知會用不需要的廣告淹沒作業系統桌面。

專家警告說，Sign1 在記錄的六個月的活動中經歷了顯著的演變，感染在新版本的惡意軟體發佈時達到頂峰。

Sign1 惡意軟體變得更加難以阻止

Sign1 惡意軟體已在超過 39,000 個網站上被偵測到，而自 2024 年 1 月以來發生的最新一波攻擊已導致 2,500 個網站被攻擊。隨著時間的推移，該活動已經變得更加隱蔽，對區塊的抵抗力也更強，這是一個令人擔憂的發展。

為了保護其網站免受攻擊活動，建議公司使用強/長的管理員密碼並將其外掛程式更新到最新版本。此外，還應刪除不必要的附加元件，因為它們可能成為潛在的攻擊面。