Uma campanha de malware previamente desconhecida chamada Sign1 infectou mais de 39.000 sites nos últimos seis meses. Como resultado, causou redirecionamentos indesejados e anúncios pop-up para os visitantes.
Os atores de ameaças injetam o malware em widgets HTML personalizados e plugins legítimos em sites WordPress para inserir os scripts maliciosos do Sign1 em vez de modificar os arquivos WordPress reais.
A empresa de segurança de sites Sucuri descobriu a campanha depois que o site de um cliente começou a exibir aleatoriamente anúncios pop-up para os visitantes.
Enquanto o cliente da Sucuri foi comprometido através de um ataque de força bruta, a Sucuri não compartilhou como os outros sites detectados foram comprometidos.
No entanto, com base em ataques anteriores ao WordPress, provavelmente envolve uma combinação de ataques de força bruta e exploração de vulnerabilidades de plugins para obter acesso ao site.
Malware se utiliza de widgets e plugins
Uma vez que os atores de ameaças obtêm acesso, eles usam widgets HTML personalizados do WordPress ou, mais comumente, instalam o plugin legítimo Simple Custom CSS and JS para injetar o código JavaScript malicioso.
A análise da Sucuri do Sign1 mostra que o malware usa randomização baseada em tempo para gerar URLs dinâmicas que mudam a cada 10 minutos para evitar bloqueios. Os domínios se registram pouco antes de ter aplicação em ataques, portanto, não estão em nenhuma lista de bloqueio.
Essas URLs servem para buscar mais scripts maliciosos que se executam no navegador do visitante.
Inicialmente, os domínios estavam na Namecheap, mas os atacantes agora mudaram para a HETZNER para hospedagem e Cloudflare para obfuscação de endereços IP.
Vale destacar que o código injetado apresenta codificação XOR e nomes de variáveis aparentemente aleatórios, tornando mais difícil a detecção por ferramentas de segurança.
O código malicioso verifica referenciadores e cookies específicos antes de executar. Assim, visa visitantes de sites importantes como Google, Facebook, Yahoo e Instagram, e permanecendo dormente em outros casos.
Além disso, o código cria um cookie no navegador do alvo para que o pop-up seja exibido apenas uma vez por visitante. Assim, torna menos provável a geração de relatórios para o proprietário do site comprometido.
Redirecionamentos
O script então redireciona o visitante para sites de scams, como captchas falsos, que tentam induzi-lo a habilitar notificações do navegador. Essas notificações entregam anúncios indesejados diretamente na área de trabalho do sistema operacional.
A Sucuri alerta que o Sign1 evoluiu ao longo dos últimos seis meses, com infecções aumentando quando uma nova versão do malware é lançada.
Nos últimos seis meses, os scanners da Sucuri detectaram o malware em mais de 39.000 sites, enquanto a última onda de ataques, que está em andamento desde janeiro de 2024, afetou 2.500 sites.
A campanha evoluiu ao longo do tempo para se tornar mais sigilosa e resistente a bloqueios, o que é um desenvolvimento preocupante.
Para proteger seus sites contra essas campanhas, use uma senha de administrador forte/longa e atualize seus plugins para a versão mais recente. Além disso, complementos desnecessários devem ser removidos, pois podem servir como uma superfície de ataque potencial.