Sign1 マルウェアが WordPress プラグインを攻撃

Sucuri のセキュリティ アナリストが観察したところによると、Sign1 と特定される重大なマルウェア オペレーションは、過去 6 か月以内に 39,000 の WordPress Web サイトへの侵入に成功しました。このキャンペーンでは、侵害された Web サイトに悪意のある JavaScript インジェクションを埋め込み、訪問者を有害な目的地にリダイレクトします。研究者らは SiteCheck を使用して、過去 2 か月だけで 2,500 を超えるサイトが感染したことを発見しました。

Sign1 はコード挿入プラグインを通じて WordPress を攻撃します

専門家のレポートによると、任意のコードを挿入できるプラグインは、Web サイトの所有者や開発者にとって便利ですが、侵害された環境では攻撃者によって悪用される可能性もあります。 Sign1 の背後にある悪意のある攻撃者は、そのようなプラグイン、特にカスタム CSS および JS を許可するプラグインを悪用して、有害なペイロードを挿入します。

彼らは悪意のある JavaScript を正規のプラグインや HTML ウィジェットに埋め込み、XOR 技術を使用してエンコードしてリモート JavaScript ファイルを実行します。 URL は 10 分ごとに動的に変化するため、検出作業が複雑になります。特に、訪問者が Google や Facebook などの主要な Web サイトから来た場合、悪意のあるコードは実行されません。これは検出を回避するために採用される戦術です。

Sign1 によって調整されたリダイレクトは、主に VexTrio ドメインにつながります。 2023 年後半に研究者の Denis Sinegubko によって最初に特定されたこのキャンペーンは、2023 年 7 月 31 日以来、最大 15 の異なるドメインを利用してきました。

キャンペーンの名前「Sign1」は、悪意のある URL を抽出してデコードするために使用されるコード内のパラメータに由来しています。 2023 年 10 月に、攻撃者は難読化戦術を変更し、sign1 パラメーターを削除しました。これは、標的となった Web サイトに対するブルートフォース攻撃が成功したことを示している可能性があります。