Sign1 Malware ataca plug-ins do WordPress

Uma operação significativa de malware, identificada como Sign1, conseguiu se infiltrar em 39.000 sites WordPress nos últimos seis meses, conforme observado por analistas de segurança da Sucuri. A campanha envolve a implantação de injeções maliciosas de JavaScript em sites comprometidos, redirecionando os visitantes para destinos prejudiciais. Os pesquisadores, usando o SiteCheck, descobriram que mais de 2.500 sites foram infectados somente nos últimos dois meses.

Sign1 ataca WordPress por meio de plug-ins de inserção de código

De acordo com o relatório dos especialistas, os plugins que permitem a inserção arbitrária de códigos são convenientes para proprietários e desenvolvedores de sites, mas também podem ser explorados por invasores em ambientes comprometidos. Os atores maliciosos por trás do Sign1 exploram esses plug-ins, especialmente aqueles que permitem CSS e JS personalizados, para inserir sua carga prejudicial.

Eles incorporam JavaScript malicioso em plug-ins legítimos e widgets HTML, codificando-os usando técnicas XOR para executar arquivos JavaScript remotos. Os URLs mudam dinamicamente a cada 10 minutos, complicando os esforços de detecção. Notavelmente, o código malicioso deixa de ser executado se o visitante vier de sites importantes como Google ou Facebook, uma tática empregada para evitar a detecção.

Os redirecionamentos orquestrados pelo Sign1 levam predominantemente aos domínios VexTrio. Identificada inicialmente pelo pesquisador Denis Sinegubko no segundo semestre de 2023, a campanha utilizou até 15 domínios diferentes desde 31 de julho de 2023.

O nome da campanha, Sign1, origina-se de um parâmetro dentro do código usado para extrair e decodificar URLs maliciosos. Em outubro de 2023, os invasores modificaram suas táticas de ofuscação, eliminando o parâmetro sign1, possivelmente indicando ataques de força bruta bem-sucedidos em sites direcionados.