Sign1 Malware attackerar WordPress-plugins

En betydande skadlig programvara, identifierad som Sign1, har lyckats infiltrera 39 000 WordPress-webbplatser under de senaste sex månaderna, vilket observerats av säkerhetsanalytiker på Sucuri. Kampanjen involverar implantation av skadliga JavaScript-injektioner på komprometterade webbplatser och omdirigerar besökare till skadliga destinationer. Forskare, som använde SiteCheck, fann att över 2 500 platser var infekterade bara under de senaste två månaderna.

Sign1 attackerar WordPress genom insticksprogram för kodinsättning

Enligt experternas rapport är plugins som tillåter godtycklig kodinsättning bekväma för webbplatsägare och utvecklare, men de kan också utnyttjas av angripare i komprometterade miljöer. De illvilliga aktörerna bakom Sign1 utnyttjar sådana plugins, särskilt de som tillåter Custom CSS & JS, för att infoga deras skadliga nyttolast.

De bäddar in skadlig JavaScript i legitima plugins och HTML-widgets, kodar den med XOR-tekniker för att exekvera JavaScript-filer på distans. Webbadresserna ändras dynamiskt var tionde minut, vilket komplicerar upptäcktsarbetet. Noterbart är att den skadliga koden avstår från att köras om besökaren kommer från större webbplatser som Google eller Facebook, en taktik som används för att undvika upptäckt.

De omdirigeringar som orkestreras av Sign1 leder till övervägande del till VexTrio-domäner. Kampanjen, som ursprungligen identifierades av forskaren Denis Sinegubko under senare hälften av 2023, har använt upp till 15 olika domäner sedan den 31 juli 2023.

Kampanjens namn, Sign1, kommer från en parameter i koden som används för att extrahera och avkoda skadliga webbadresser. I oktober 2023 modifierade angripare sin fördunklingstaktik och eliminerade parametern sign1, vilket möjligen indikerar framgångsrika brute-force-attacker på riktade webbplatser.