El malware Sign1 ataca los complementos de WordPress

Una importante operación de malware, identificada como Sign1, ha logrado infiltrarse en 39.000 sitios web de WordPress en los últimos seis meses, según observaron los analistas de seguridad de Sucuri. La campaña implica la implantación de inyecciones de JavaScript maliciosas en sitios web comprometidos, redirigiendo a los visitantes a destinos dañinos. Los investigadores, utilizando SiteCheck, descubrieron que más de 2.500 sitios fueron infectados sólo en los últimos dos meses.

Sign1 ataca WordPress mediante complementos de inserción de código

Según el informe de los expertos, los complementos que permiten la inserción de código arbitrario son convenientes para los propietarios y desarrolladores de sitios web, pero también pueden ser explotados por atacantes en entornos comprometidos. Los actores maliciosos detrás de Sign1 explotan dichos complementos, particularmente aquellos que permiten CSS y JS personalizados, para insertar su carga útil dañina.

Incorporan JavaScript malicioso en complementos legítimos y widgets HTML, codificándolo utilizando técnicas XOR para ejecutar archivos JavaScript remotos. Las URL cambian dinámicamente cada 10 minutos, lo que complica los esfuerzos de detección. En particular, el código malicioso se abstiene de ejecutarse si el visitante proviene de sitios web importantes como Google o Facebook, una táctica empleada para evadir la detección.

Las redirecciones orquestadas por Sign1 conducen predominantemente a dominios VexTrio. Identificada inicialmente por el investigador Denis Sinegubko en la segunda mitad de 2023, la campaña ha utilizado hasta 15 dominios diferentes desde el 31 de julio de 2023.

El nombre de la campaña, Sign1, se origina a partir de un parámetro dentro del código utilizado para extraer y decodificar URL maliciosas. En octubre de 2023, los atacantes modificaron sus tácticas de ofuscación y eliminaron el parámetro sign1, lo que posiblemente indica ataques de fuerza bruta exitosos en sitios web específicos.