Вредоносное ПО Sign1 атакует плагины WordPress

По наблюдениям аналитиков безопасности Sucuri, крупная вредоносная программа, обозначенная как Sign1, сумела проникнуть на 39 000 веб-сайтов WordPress за последние шесть месяцев. Кампания предполагает внедрение вредоносных JavaScript-инъекций на скомпрометированные веб-сайты, перенаправляющих посетителей на вредоносные направления. Исследователи с помощью SiteCheck обнаружили, что только за последние два месяца было заражено более 2500 сайтов.

Sign1 атакует WordPress с помощью плагинов для вставки кода

Согласно отчету экспертов, плагины, позволяющие вставлять произвольный код, удобны для владельцев веб-сайтов и разработчиков, но они также могут быть использованы злоумышленниками в скомпрометированных средах. Злоумышленники, стоящие за Sign1, используют такие плагины, особенно те, которые позволяют использовать Custom CSS и JS, для вставки своей вредоносной полезной нагрузки.

Они встраивают вредоносный код JavaScript в законные плагины и HTML-виджеты, кодируя его с помощью методов XOR для удаленного выполнения файлов JavaScript. URL-адреса динамически меняются каждые 10 минут, что усложняет задачу обнаружения. Примечательно, что вредоносный код не выполняется, если посетитель приходит с крупных веб-сайтов, таких как Google или Facebook. Эта тактика используется для уклонения от обнаружения.

Перенаправления, организованные Sign1, преимущественно ведут на домены VexTrio. Первоначально выявленная исследователем Денисом Синегубко во второй половине 2023 года, с 31 июля 2023 года в кампании использовалось до 15 различных доменов.

Название кампании Sign1 происходит от параметра в коде, используемом для извлечения и декодирования вредоносных URL-адресов. В октябре 2023 года злоумышленники изменили свою тактику запутывания, устранив параметр Sign1, что, возможно, указывает на успешные атаки методом перебора на целевые веб-сайты.