A Sign1 rosszindulatú programok megtámadják a WordPress beépülő moduljait

A Sucuri biztonsági elemzői szerint egy jelentős rosszindulatú program, amelyet Sign1 néven azonosítottak, 39 000 WordPress webhelyre tudott behatolni az elmúlt hat hónapban. A kampány magában foglalja a rosszindulatú JavaScript-injekciók beültetését a feltört webhelyekre, amelyek a látogatókat káros célpontokra irányítják át. A SiteCheck segítségével a kutatók azt találták, hogy csak az elmúlt két hónapban több mint 2500 webhely fertőződött meg.

A Sign1 megtámadja a WordPress-t kódbeillesztési beépülő modulokon keresztül

A szakértők jelentése szerint a tetszőleges kódbeillesztést lehetővé tevő bővítmények kényelmesek a weboldal tulajdonosok és fejlesztők számára, de a támadók is kihasználhatják azokat a feltört környezetben. A Sign1 mögött meghúzódó rosszindulatú szereplők kihasználják az ilyen beépülő modulokat, különösen azokat, amelyek lehetővé teszik az egyéni CSS-t és JS-t, hogy beillesszék káros terhelésüket.

A rosszindulatú JavaScriptet törvényes beépülő modulokba és HTML-modulokba ágyazzák be, XOR technikákkal kódolva távoli JavaScript-fájlok futtatásához. Az URL-ek 10 percenként dinamikusan változnak, ami megnehezíti az észlelési erőfeszítéseket. Figyelemre méltó, hogy a rosszindulatú kód tartózkodik a végrehajtástól, ha a látogató olyan nagy webhelyekről érkezik, mint a Google vagy a Facebook. Ez a taktika az észlelés elkerülésére szolgál.

A Sign1 által szervezett átirányítások túlnyomórészt VexTrio tartományokhoz vezetnek. Az eredetileg Denis Sinegubko kutató által 2023 második felében azonosított kampány 2023. július 31-e óta akár 15 különböző domaint is felhasznált.

A kampány neve, Sign1, a rosszindulatú URL-ek kinyerésére és dekódolására használt kódon belüli paraméterből származik. 2023 októberében a támadók módosították az elhomályosítási taktikájukat, megszüntetve a sign1 paramétert, ami valószínűleg sikeres brute force támadásokat jelezhet a megcélzott webhelyeken.