25/03/24
В течение последних шести месяцев десятки тысяч веб-ресурсов пали жертвой масштабной кампании с использованием ранее неизвестной вредоносной программы Sign1. Злоумышленники внедряют вирус на WordPress-сайты, а посетители сталкиваются с нежелательными перенаправлениями и назойливой рекламой в виде всплывающих окон. Кампанию обнаружила фирма Sucuri, специализирующаяся на веб-безопасности, после того как один из сайтов ее клиента начал демонстрировать подобное поведение.
Получив несанкционированный доступ к сайту на WordPress, обычно путем подбора учетных данных или эксплуатации уязвимостей в плагинах, злоумышленники внедряют свой JavaScript-код в пользовательские HTML-виджеты, легитимный плагин Simple Custom CSS and JS или другие компоненты, вместо модификации самих файлов системы управления. Об этом пишет Securitylab.
Анализ показал, что Sign1 использует механизм рандомизации на основе текущего времени, чтобы непрерывно обновлять URL-адреса, с которых загружаются зловредные скрипты. Эти адреса меняются каждые 10 минут, что и позволяет вирусу обходить блокировки.
Дело в том, что используемые домены регистрируются накануне атаки и не успевают попасть в черные списки. URL затем применяются для получения дополнительных вредоносных элементов и их выполнения в браузере зараженного сайта.
Чтобы замаскировать свое присутствие, Sign1 использует XOR-шифрование, случайные названия переменных, а также проверяет куки и реферреры перед запуском.
Sign1 анализирует источник трафика и активируется только в случае, если пользователь пришел с популярных ресурсов вроде поисковиков Google и Yahoo, социальных сетей Facebook* и Instagram*. В остальных случаях вредонос остается неактивным. Кроме того, программа создает куки-маркер в браузере зараженного компьютера, чтобы всплывающие окна демонстрировались только один раз для каждого посетителя сайта.
После запуска Sign1 перенаправляет пользователей на поддельные платформы с мошенническими капчами, всяческими уловками заставляя включить уведомления браузера. Это открывает злоумышленникам прямой канал для демонстрации нежелательной рекламы прямо на рабочем столе.
За минувшие полгода сканеры Sucuri выявили активность вируса минимум на 39 000 сайтов. Одна только последняя волна атак, начавшаяся в январе 2024 года, затронула уже около 2500 ресурсов, что вызывает серьезную озабоченность специалистов по кибербезопасности.
Для защиты своих ресурсов от подобных угроз специалисты рекомендуют использовать сложные длинные пароли, регулярно обновлять установленные расширения и модули до последних версий, а также удалять лишнее и ненужное ПО, которое может стать удобной лазейкой для злоумышленников.
