Sign1 κακόβουλο λογισμικό επιτίθεται στα πρόσθετα WordPress
Μια σημαντική επιχείρηση κακόβουλου λογισμικού, που προσδιορίζεται ως Sign1, κατάφερε να διεισδύσει σε 39.000 ιστότοπους WordPress μέσα στους τελευταίους έξι μήνες, όπως παρατήρησαν αναλυτές ασφαλείας της Sucuri. Η καμπάνια περιλαμβάνει την εμφύτευση κακόβουλων ενέσεων JavaScript σε παραβιασμένους ιστότοπους, ανακατευθύνοντας τους επισκέπτες σε επιβλαβείς προορισμούς. Οι ερευνητές, χρησιμοποιώντας το SiteCheck, διαπίστωσαν ότι πάνω από 2.500 ιστότοποι μολύνθηκαν μόνο τους τελευταίους δύο μήνες.
Το Sign1 επιτίθεται στο WordPress μέσω προσθηκών εισαγωγής κώδικα
Σύμφωνα με την έκθεση των ειδικών, τα πρόσθετα που επιτρέπουν την αυθαίρετη εισαγωγή κώδικα είναι βολικά για τους ιδιοκτήτες και τους προγραμματιστές ιστότοπων, αλλά μπορούν επίσης να χρησιμοποιηθούν από εισβολείς σε περιβάλλοντα που έχουν παραβιαστεί. Οι κακόβουλοι παράγοντες πίσω από το Sign1 εκμεταλλεύονται τέτοιες προσθήκες, ιδιαίτερα αυτές που επιτρέπουν στο Custom CSS & JS, για να εισαγάγουν το επιβλαβές ωφέλιμο φορτίο τους.
Ενσωματώνουν κακόβουλο JavaScript σε νόμιμες προσθήκες και γραφικά στοιχεία HTML, κωδικοποιώντας το χρησιμοποιώντας τεχνικές XOR για την εκτέλεση απομακρυσμένων αρχείων JavaScript. Οι διευθύνσεις URL αλλάζουν δυναμικά κάθε 10 λεπτά, περιπλέκοντας τις προσπάθειες ανίχνευσης. Συγκεκριμένα, ο κακόβουλος κώδικας δεν εκτελείται εάν ο επισκέπτης προέρχεται από μεγάλους ιστότοπους όπως η Google ή το Facebook, μια τακτική που χρησιμοποιείται για την αποφυγή εντοπισμού.
Οι ανακατευθύνσεις που ενορχηστρώνονται από το Sign1 οδηγούν κυρίως σε τομείς VexTrio. Αρχικά αναγνωρίστηκε από τον ερευνητή Denis Sinegubko στο δεύτερο εξάμηνο του 2023, η καμπάνια έχει χρησιμοποιήσει έως και 15 διαφορετικούς τομείς από τις 31 Ιουλίου 2023.
Το όνομα της καμπάνιας, Sign1, προέρχεται από μια παράμετρο στον κώδικα που χρησιμοποιείται για την εξαγωγή και την αποκωδικοποίηση κακόβουλων διευθύνσεων URL. Τον Οκτώβριο του 2023, οι επιτιθέμενοι τροποποίησαν τις τακτικές συσκότισης, εξαλείφοντας την παράμετρο sign1, υποδεικνύοντας πιθανώς επιτυχημένες επιθέσεις ωμής βίας σε στοχευμένους ιστότοπους.
