Sign1 惡意軟體攻擊 WordPress 插件

根據 Sucuri 安全分析師的觀察，在過去六個月內，一個名為 Sign1 的重大惡意軟體作業已成功滲透到 39,000 個 WordPress 網站。該活動涉及將惡意 JavaScript 注入植入受感染的網站，將訪客重新導向到有害目的地。研究人員使用 SiteCheck 發現，光是過去兩個月就有超過 2,500 個網站受到感染。

Sign1 透過程式碼插入外掛攻擊 WordPress

根據專家的報告，允許任意程式碼插入的外掛程式對於網站所有者和開發人員來說很方便，但它們也可能在受感染的環境中被攻擊者利用。 Sign1 背後的惡意行為者利用此類插件，特別是那些允許自訂 CSS 和 JS 的插件來插入其有害負載。

他們將惡意 JavaScript 嵌入到合法插件和 HTML 小部件中，並使用 XOR 技術對其進行編碼以執行遠端 JavaScript 檔案。 URL 每 10 分鐘動態變更一次，讓偵測工作變得複雜。值得注意的是，如果訪客來自 Google 或 Facebook 等主要網站，則惡意程式碼將不會執行，這是一種逃避偵測的策略。

Sign1 精心策劃的重定向主要指向 VexTrio 域。該活動最初由研究人員 Denis Sinegubko 在 2023 年下半年發現，自 2023 年 7 月 31 日以來已利用了多達 15 個不同的網域。

該活動的名稱 Sign1 源自於用於提取和解碼惡意 URL 的程式碼中的一個參數。 2023 年 10 月，攻擊者修改了混淆策略，刪除了sign1參數，這可能表明對目標網站的暴力攻擊成功。