Sign1 Malware angriper WordPress-plugins

En betydelig skadelig programvare-operasjon, identifisert som Sign1, har klart å infiltrere 39 000 WordPress-nettsteder i løpet av de siste seks månedene, som observert av sikkerhetsanalytikere hos Sucuri. Kampanjen innebærer implantasjon av ondsinnede JavaScript-injeksjoner på kompromitterte nettsteder, og omdirigerer besøkende til skadelige destinasjoner. Forskere, som brukte SiteCheck, fant at over 2500 nettsteder ble infisert i løpet av de siste to månedene alene.

Sign1 angriper WordPress gjennom plugins for kodeinnsetting

I følge ekspertenes rapport er plugins som tillater vilkårlig kodeinnsetting praktisk for nettstedeiere og utviklere, men de kan også utnyttes av angripere i kompromitterte miljøer. De ondsinnede aktørene bak Sign1 utnytter slike plugins, spesielt de som tillater Custom CSS & JS, for å sette inn deres skadelige nyttelast.

De bygger inn ondsinnet JavaScript i legitime plugins og HTML-widgets, og koder det ved hjelp av XOR-teknikker for å kjøre eksterne JavaScript-filer. URL-ene endres dynamisk hvert 10. minutt, noe som kompliserer deteksjonsarbeidet. Spesielt avstår den ondsinnede koden fra å kjøre hvis den besøkende kommer fra store nettsteder som Google eller Facebook, en taktikk som brukes for å unngå oppdagelse.

Omdirigeringene orkestrert av Sign1 fører hovedsakelig til VexTrio-domener. Kampanjen ble opprinnelig identifisert av forsker Denis Sinegubko i siste halvdel av 2023, og har brukt opptil 15 forskjellige domener siden 31. juli 2023.

Kampanjens navn, Sign1, kommer fra en parameter i koden som brukes til å trekke ut og dekode ondsinnede nettadresser. I oktober 2023 modifiserte angripere sløringstaktikkene sine, og eliminerte sign1-parameteren, noe som muligens indikerte vellykkede brute-force-angrep på målrettede nettsteder.