„Sign1“ kenkėjiška programa užpuola „WordPress“ papildinius

Kaip pastebėjo „Sucuri“ saugumo analitikai, reikšminga kenkėjiškų programų operacija, identifikuota kaip „Sign1“, per pastaruosius šešis mėnesius sugebėjo įsiskverbti į 39 000 „WordPress“ svetainių. Kampanija apima kenkėjiškų „JavaScript“ injekcijų įdiegimą į pažeistas svetaines, nukreipiant lankytojus į kenksmingas vietas. Tyrėjai, naudodami SiteCheck, nustatė, kad vien per pastaruosius du mėnesius buvo užkrėsta daugiau nei 2500 svetainių.

„Sign1“ atakuoja „WordPress“ naudodamas kodo įterpimo papildinius

Ekspertų ataskaitoje teigiama, kad įskiepiai, leidžiantys savavališkai įterpti kodą, yra patogūs svetainių savininkams ir kūrėjams, tačiau juos gali išnaudoti ir užpuolikai pažeistose aplinkose. Kenkėjiški „Sign1“ veikėjai išnaudoja tokius papildinius, ypač tuos, kurie leidžia „Custom CSS“ ir „JS“ įterpti savo žalingą naudingą apkrovą.

Jie įterpia kenkėjišką „JavaScript“ į teisėtus papildinius ir HTML valdiklius, užkoduodami jį naudodami XOR metodus, kad būtų vykdomi nuotoliniai „JavaScript“ failai. URL adresai dinamiškai keičiasi kas 10 minučių, o tai apsunkina aptikimo pastangas. Pažymėtina, kad kenkėjiškas kodas nevykdomas, jei lankytojas atvyksta iš pagrindinių svetainių, pvz., „Google“ ar „Facebook“, o tai naudojama siekiant išvengti aptikimo.

„Sign1“ organizuojami peradresavimai daugiausia veda į „VexTrio“ domenus. Iš pradžių tyrėjas Denisas Sinegubko nustatė antrąjį 2023 m. pusmetį, kampanijoje nuo 2023 m. liepos 31 d. buvo naudojama iki 15 skirtingų domenų.

Kampanijos pavadinimas Sign1 kilęs iš parametro kode, naudojamo kenkėjiškiems URL išgauti ir iškoduoti. 2023 m. spalio mėn. užpuolikai pakeitė savo užmaskavimo taktiką, pašalindami sign1 parametrą, galbūt nurodant sėkmingas brutalios jėgos atakas tikslinėse svetainėse.