Sign1 Malware angriber WordPress-plugins

En betydelig malware-operation, identificeret som Sign1, har formået at infiltrere 39.000 WordPress-websteder inden for de seneste seks måneder, som observeret af sikkerhedsanalytikere hos Sucuri. Kampagnen involverer implantation af ondsindede JavaScript-injektioner på kompromitterede websteder, der omdirigerer besøgende til skadelige destinationer. Forskere, der brugte SiteCheck, fandt ud af, at over 2.500 websteder blev inficeret alene inden for de sidste to måneder.

Sign1 angriber WordPress gennem kodeindsættelsesplugins

Ifølge eksperternes rapport er plugins, der tillader vilkårlig kodeindsættelse, bekvemme for webstedsejere og udviklere, men de kan også udnyttes af angribere i kompromitterede miljøer. De ondsindede aktører bag Sign1 udnytter sådanne plugins, især dem, der tillader Custom CSS & JS, til at indsætte deres skadelige nyttelast.

De indlejrer ondsindet JavaScript i legitime plugins og HTML-widgets, og koder det ved hjælp af XOR-teknikker til at udføre eksterne JavaScript-filer. URL'erne ændres dynamisk hvert 10. minut, hvilket komplicerer detektionsbestræbelser. Især afstår den ondsindede kode fra at blive eksekveret, hvis den besøgende stammer fra større websteder som Google eller Facebook, en taktik, der bruges til at undgå opdagelse.

Omdirigeringerne orkestreret af Sign1 fører overvejende til VexTrio-domæner. Kampagnen blev oprindeligt identificeret af forskeren Denis Sinegubko i sidste halvdel af 2023 og har brugt op til 15 forskellige domæner siden 31. juli 2023.

Kampagnens navn, Sign1, stammer fra en parameter i koden, der bruges til at udtrække og afkode ondsindede URL'er. I oktober 2023 ændrede angribere deres sløringstaktik, og eliminerede sign1-parameteren, hvilket muligvis indikerer vellykkede brute-force-angreb på målrettede websteder.