Złośliwe oprogramowanie Sign1 atakuje wtyczki WordPress

Jak zauważyli analitycy bezpieczeństwa w firmie Sucuri, w ciągu ostatnich sześciu miesięcy znaczącej operacji złośliwego oprogramowania, zidentyfikowanej jako Sign1, udało się przeniknąć do 39 000 witryn WordPress. Kampania polega na wszczepianiu złośliwych zastrzyków JavaScript do zaatakowanych stron internetowych, przekierowując odwiedzających do szkodliwych miejsc docelowych. Badacze korzystający z narzędzia SiteCheck odkryli, że tylko w ciągu ostatnich dwóch miesięcy zainfekowanych zostało ponad 2500 witryn.

Sign1 atakuje WordPress poprzez wtyczki wstawiające kod

Według raportu ekspertów wtyczki umożliwiające wstawienie dowolnego kodu są wygodne dla właścicieli i programistów witryn internetowych, ale mogą być również wykorzystane przez osoby atakujące w zaatakowanych środowiskach. Złośliwi aktorzy stojący za Sign1 wykorzystują takie wtyczki, zwłaszcza te, które pozwalają na niestandardowe CSS i JS, w celu wstawienia szkodliwego ładunku.

Osadzają złośliwy kod JavaScript w legalnych wtyczkach i widżetach HTML, kodując go przy użyciu technik XOR w celu zdalnego uruchamiania plików JavaScript. Adresy URL zmieniają się dynamicznie co 10 minut, co komplikuje wykrywanie. Warto zauważyć, że złośliwy kod wstrzymuje się od wykonania, jeśli użytkownik pochodzi z głównych witryn internetowych, takich jak Google czy Facebook, co jest taktyką stosowaną w celu uniknięcia wykrycia.

Przekierowania organizowane przez Sign1 prowadzą głównie do domen VexTrio. Pierwotnie zidentyfikowana przez badacza Denisa Sinegubko w drugiej połowie 2023 r., od 31 lipca 2023 r. w kampanii wykorzystano aż 15 różnych domen.

Nazwa kampanii Sign1 pochodzi od parametru w kodzie używanego do wyodrębniania i dekodowania złośliwych adresów URL. W październiku 2023 r. napastnicy zmodyfikowali swoją taktykę zaciemniania, eliminując parametr „sign1”, co prawdopodobnie wskazywało na udane ataki brute-force na docelowe strony internetowe.