Sign1-Malware greift WordPress-Plugins an

Einer bedeutenden Malware-Operation namens Sign1 ist es laut Sicherheitsanalysten von Sucuri gelungen, innerhalb der letzten sechs Monate 39.000 WordPress-Websites zu infiltrieren. Die Kampagne beinhaltet die Einschleusung bösartiger JavaScript-Injektionen in kompromittierte Websites und die Umleitung von Besuchern zu schädlichen Zielen. Mithilfe von SiteCheck fanden Forscher heraus, dass allein in den letzten zwei Monaten über 2.500 Websites infiziert waren.

Sign1 greift WordPress über Code-Einfügungs-Plugins an

Dem Bericht der Experten zufolge sind Plugins, die das Einfügen von beliebigem Code ermöglichen, für Website-Besitzer und Entwickler praktisch, können aber auch von Angreifern in kompromittierten Umgebungen ausgenutzt werden. Die böswilligen Akteure hinter Sign1 nutzen solche Plugins aus, insbesondere solche, die benutzerdefiniertes CSS und JS ermöglichen, um ihre schädliche Nutzlast einzuschleusen.

Sie betten bösartiges JavaScript in legitime Plugins und HTML-Widgets ein und kodieren es mithilfe von XOR-Techniken, um Remote-JavaScript-Dateien auszuführen. Die URLs ändern sich dynamisch alle 10 Minuten, was die Erkennungsbemühungen erschwert. Insbesondere wird der Schadcode nicht ausgeführt, wenn der Besucher von großen Websites wie Google oder Facebook kommt, eine Taktik, die eingesetzt wird, um einer Entdeckung zu entgehen.

Die von Sign1 orchestrierten Weiterleitungen führen überwiegend zu VexTrio-Domänen. Die Kampagne wurde erstmals in der zweiten Hälfte des Jahres 2023 vom Forscher Denis Sinegubko identifiziert und hat seit dem 31. Juli 2023 bis zu 15 verschiedene Domains genutzt.

Der Name der Kampagne, Sign1, stammt von einem Parameter im Code, der zum Extrahieren und Dekodieren bösartiger URLs verwendet wird. Im Oktober 2023 änderten die Angreifer ihre Verschleierungstaktiken und entfernten den Parameter sign1, was möglicherweise auf erfolgreiche Brute-Force-Angriffe auf gezielte Websites hindeutet.