Sign1 恶意软件感染了 3.9 万个 WordPress 网站
2024-3-22 11:22:0 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近期,安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站,致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。1711077794_65fcf9a2d16e16287affa.png!small?1711077796508

Sign1 恶意软件活动

从以往的 WordPress 网站攻击案例来看, Sign1 恶意软件可能采用了暴力攻击或者利用了插件漏洞,一旦威胁攻击者获得了网站访问权限,就会立刻使用 WordPress 自定义 HTML 小工具,或者安装合法的 Simple Custom CSS and JS 插件来注入恶意 JavaScript 代码。1711077820_65fcf9bcbc9413898aeb0.png!small?1711077821575

通过简单自定义 CSS 和 JS 插件注入 Sign1 恶意软件来源(来源:Sucuri)

在对 Sign1 恶意软件详细分析后,Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL,每 10 分钟就会更新一次,以躲避安全拦截。(威胁攻击者在开展网络攻击前不久才会注册域名,因此域名不在任何拦截列表中)

这些 URL 被用来获取更多的恶意脚本,并在访问者的浏览器中运行。Sucuri 强调,这些域名一开始都是托管在 Namecheap 上,目前威胁攻击者已经将其转移到 HETZNER 上托管了,并且使用了 Cloudflare 进行 IP 地址混淆。1711077831_65fcf9c7b66f6004786c0.png!small?1711077832267

(图片来源:Sucuri )

注入的代码采用 XOR 编码和看似随机的变量名,这样就使得安全工具更难检测到恶意软件。恶意代码在执行前还会检查特定的推荐人以及 cookie,其主要目标是谷歌、Facebook、雅虎和 Instagram 等主要网站的访问者,而在其他情况下则处于休眠状态。

此外,代码还会在目标浏览器上创建一个 cookie,这样弹出式窗口对每个访客只显示一次,从而降低了向被入侵网站所有者生成报告的可能性。随后,脚本会将访问者重定向到诈骗网站,例如假冒的验证码,试图诱骗访问者启用浏览器通知。(这些通知会将一些广告直接发送到访问者的操作系统桌面上)

值得注意的是,Sucuri 警告称,Sign1 容易软件在过去六个月中不断演变,每当新版恶意软件发布时,感染率就会激增。1711077846_65fcf9d69686aca083bc0.png!small?1711077847583

每日下载量(来源:Sucuri )

过去 6 个月中,Sucuri 的扫描仪在 39000 多个网站上检测到了 Sign1 恶意软件。随着时间推移, Sign1 恶意软件活动已经变得更加隐蔽,对拦截的抵御能力也更强了。

最后,网络安全专家指出,为了保护网站免受 Sign1 恶意软件的攻击,网站管理员应当尽量使用强大/冗长的管理员密码、将插件更新到最新版本,并当尽快删除不必要的附加组件。

参考文章:

https://www.bleepingcomputer.com/news/security/evasive-sign1-malware-campaign-infects-39-000-wordpress-sites/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/395610.html
如有侵权请联系:admin#unsafe.sh