Вредоносное ПО Sign1 атакует плагины WordPress

computer malware

По наблюдениям аналитиков безопасности Sucuri, крупная вредоносная программа, обозначенная как Sign1, сумела проникнуть на 39 000 веб-сайтов WordPress за последние шесть месяцев. Кампания предполагает внедрение вредоносных JavaScript-инъекций на скомпрометированные веб-сайты, перенаправляющих посетителей на вредоносные направления. Исследователи с помощью SiteCheck обнаружили, что только за последние два месяца было заражено более 2500 сайтов.

Sign1 атакует WordPress с помощью плагинов для вставки кода

Согласно отчету экспертов, плагины, позволяющие вставлять произвольный код, удобны для владельцев веб-сайтов и разработчиков, но они также могут быть использованы злоумышленниками в скомпрометированных средах. Злоумышленники, стоящие за Sign1, используют такие плагины, особенно те, которые позволяют использовать Custom CSS и JS, для вставки своей вредоносной полезной нагрузки.

Они встраивают вредоносный код JavaScript в законные плагины и HTML-виджеты, кодируя его с помощью методов XOR для удаленного выполнения файлов JavaScript. URL-адреса динамически меняются каждые 10 минут, что усложняет задачу обнаружения. Примечательно, что вредоносный код не выполняется, если посетитель приходит с крупных веб-сайтов, таких как Google или Facebook. Эта тактика используется для уклонения от обнаружения.

Перенаправления, организованные Sign1, преимущественно ведут на домены VexTrio. Первоначально выявленная исследователем Денисом Синегубко во второй половине 2023 года, с 31 июля 2023 года в кампании использовалось до 15 различных доменов.

Название кампании Sign1 происходит от параметра в коде, используемом для извлечения и декодирования вредоносных URL-адресов. В октябре 2023 года злоумышленники изменили свою тактику запутывания, устранив параметр Sign1, что, возможно, указывает на успешные атаки методом перебора на целевые веб-сайты.

March 25, 2024
Loading ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.