Il malware Sign1 attacca i plugin di WordPress

Una significativa operazione malware, identificata come Sign1, è riuscita a infiltrarsi in 39.000 siti Web WordPress negli ultimi sei mesi, come osservato dagli analisti della sicurezza di Sucuri. La campagna prevede l'impianto di iniezioni JavaScript dannose in siti Web compromessi, reindirizzando i visitatori verso destinazioni dannose. I ricercatori, utilizzando SiteCheck, hanno scoperto che solo negli ultimi due mesi sono stati infettati oltre 2.500 siti.

Sign1 attacca WordPress tramite plugin di inserimento codice

Secondo il rapporto degli esperti, i plugin che consentono l'inserimento arbitrario di codice sono convenienti per i proprietari di siti web e gli sviluppatori, ma possono anche essere sfruttati dagli aggressori in ambienti compromessi. Gli autori malintenzionati dietro Sign1 sfruttano tali plugin, in particolare quelli che consentono Custom CSS e JS, per inserire il loro payload dannoso.

Incorporano JavaScript dannoso in plugin e widget HTML legittimi, codificandolo utilizzando tecniche XOR per eseguire file JavaScript remoti. Gli URL cambiano dinamicamente ogni 10 minuti, complicando le operazioni di rilevamento. In particolare, il codice dannoso si astiene dall'esecuzione se il visitatore proviene da siti Web importanti come Google o Facebook, una tattica utilizzata per eludere il rilevamento.

I reindirizzamenti orchestrati da Sign1 portano prevalentemente ai domini VexTrio. Inizialmente identificata dal ricercatore Denis Sinegubko nella seconda metà del 2023, la campagna ha utilizzato fino a 15 domini diversi dal 31 luglio 2023.

Il nome della campagna, Sign1, deriva da un parametro all'interno del codice utilizzato per estrarre e decodificare URL dannosi. Nell’ottobre 2023, gli aggressori hanno modificato le loro tattiche di offuscamento, eliminando il parametro sign1, che potrebbe indicare attacchi di forza bruta riusciti su siti Web presi di mira.