A campanha de malware Evasive Sign1 infecta 39.000 sites do WordPress
22 de Março de 2024

Uma campanha de malware anteriormente desconhecida chamada Sign1 infectou mais de 39.000 sites nos últimos seis meses, causando redirecionamentos indesejados e propagandas pop-up aos visitantes.

Os atores da ameaça injetam o malware em widgets HTML personalizados e plugins legítimos em sites WordPress para injetar os scripts maliciosos do Sign1, em vez de modificar os arquivos WordPress reais.

A empresa de segurança de sites Sucuri descobriu a campanha após um site de um cliente exibir aleatoriamente anúncios pop-up aos visitantes.

Embora o cliente da Sucuri tenha sido violado através de um ataque de força bruta, a Sucuri não compartilhou como os outros sites detectados foram comprometidos.

No entanto, com base em ataques WordPress anteriores, provavelmente envolve uma combinação de ataques de força bruta e exploração de vulnerabilidades de plugins para ganhar acesso ao site.

Uma vez que os atores de ameaças ganham acesso, eles usam widgets HTML personalizados do WordPress ou, mais comumente, instalam o plugin legítimo Simple Custom CSS and JS para injetar o código JavaScript malicioso.

A análise da Sucuri do Sign1 mostra que o malware usa a aleatorização baseada no tempo para gerar URLs dinâmicos que mudam a cada 10 minutos para evitar bloqueios.

Os domínios são registrados pouco antes de serem usados ​​nos ataques, por isso não estão em nenhuma lista de bloqueio.

Esses URLs são usados ​​para buscar mais scripts maliciosos que são executados no navegador de um visitante.

Inicialmente, os domínios estavam hospedados no Namecheap, mas os invasores agora se mudaram para a HETZNER para hospedagem e Cloudflare para a ofuscação de endereços IP.

O código injetado apresenta codificação XOR e nomes de variáveis ​​aparentemente aleatórios, tornando mais difícil a detecção por ferramentas de segurança.

O código malicioso verifica referenciadores e cookies específicos antes de executar, visando visitantes de sites importantes como Google, Facebook, Yahoo e Instagram e permanecendo dormente em outros casos.

Além disso, o código cria um cookie no navegador do alvo para que o pop-up seja exibido apenas uma vez por visitante, tornando menos provável a geração de relatórios para o proprietário do site comprometido.

O script então redireciona o visitante para sites fraudulentos, como captchas falsos, que tentam enganá-lo a habilitar notificações do navegador.

Essas notificações entregam anúncios indesejados diretamente para a área de trabalho do seu sistema operacional.

A Sucuri alerta que o Sign1 evoluiu nos últimos seis meses, com infecções aumentando quando uma nova versão do malware é lançada.

Nos últimos seis meses, os scanners da Sucuri detectaram o malware em mais de 39.000 sites, enquanto a última onda de ataques, que está em andamento desde janeiro de 2024, já comprometeu 2.500 sites.

A campanha evoluiu ao longo do tempo para se tornar mais furtiva e resistente a bloqueios, o que é preocupante.

Para proteger seus sites contra essas campanhas, use uma senha de administrador forte/comprida e atualize seus plugins para a versão mais recente.

Além disso, complementos desnecessários devem ser removidos, pois podem atuar como uma superfície de ataque potencial.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...