Sign1-Malware
Eine bisher unbekannte Malware-Operation namens Sign1 hat innerhalb von sechs Monaten erfolgreich mehr als 39.000 Websites infiltriert, was dazu führte, dass Besucher mit unerwünschten Weiterleitungen und Popup-Werbung bombardiert wurden. Die Täter dieser Bedrohung implantieren die Malware in maßgeschneiderte HTML-Widgets und authentische Plugins, die auf WordPress-Plattformen zu finden sind. Anstatt die echten WordPress-Dateien zu verändern, setzen sie die unsicheren Sign1-Skripte ein, um ihre schändlichen Aktivitäten auszuführen.
Inhaltsverzeichnis
Die Sign1-Malware-Kampagne hat fast 40.000 Websites kompromittiert
Basierend auf früheren WordPress-Verstößen glauben Forscher, dass die Sign1-Malware-Infiltration wahrscheinlich eine Doppelstrategie nutzt, die Brute-Force-Angriffe und die Ausnutzung von Plugin-Schwachstellen zur Durchbrechung der Website-Verteidigung umfasst. Wenn sich Täter Zugang verschaffen, nutzen sie häufig benutzerdefinierte WordPress-HTML-Widgets oder installieren das scheinbar legitime Simple Custom CSS- und JS-Plugin, um böswilligen JavaScript-Code einzubetten.
Eine Untersuchung von Sign1 hat gezeigt, dass es zeitbasierte Randomisierung zur Generierung dynamischer URLs nutzt, die sich alle 10 Minuten ändern, um eine Erkennung zu verhindern. Die Registrierung der Domains erfolgt kurz vor dem Einsatz bei Angriffen, sodass sie nicht auf Blocklists landen. Diese URLs dienen dazu, zusätzliche bösartige Skripte zu beschaffen, die in den Browsern der Besucher ausgeführt werden.
Ursprünglich auf Namecheap gehostet, migrierten die Angreifer ihre Aktivitäten zu HETZNER für das Hosting und zu Cloudflare zur Verschleierung von IP-Adressen.
Die Sign1-Malware führt Opfer auf zweifelhafte und unsichere Websites
Die Sign1-Malware schleust Code mit XOR-Kodierung ein und nutzt scheinbar zufällige Variablennamen, wodurch die Erkennung durch Sicherheitstools erschwert wird.
Dieser böswillige Code führt vor der Aktivierung eine Überprüfung auf bestimmte Referrer und Cookies durch und zielt in erster Linie auf Besucher bekannter Plattformen wie Google, Facebook, Yahoo und Instagram ab, während er in anderen Fällen inaktiv bleibt. Darüber hinaus erstellt der Code ein Cookie im Browser des Besuchers und sorgt so dafür, dass das Popup nur einmal pro Besucher erscheint, wodurch die Wahrscheinlichkeit verringert wird, dass der Eigentümer der infizierten Website Meldungen einreicht.
Anschließend leitet das Skript Besucher auf betrügerische Websites weiter, beispielsweise gefälschte Captchas, die darauf ausgelegt sind, Benutzer dazu zu verleiten, Browserbenachrichtigungen zu aktivieren. Diese Benachrichtigungen überschwemmen dann den Desktop des Betriebssystems mit unerwünschter Werbung.
Experten warnen davor, dass Sign1 in den dokumentierten sechs Monaten der Kampagne eine bemerkenswerte Entwicklung durchgemacht hat, wobei die Infektionen mit der Veröffentlichung neuer Versionen der Malware ihren Höhepunkt erreichten.
Die Sign1-Malware ist schwieriger zu stoppen
Die Sign1-Malware wurde auf über 39.000 Websites entdeckt, während die jüngste Angriffswelle, die seit Januar 2024 läuft, 2.500 Websites forderte. Die Kampagne hat sich im Laufe der Zeit weiterentwickelt und ist immer versteckter und widerstandsfähiger gegenüber Blockaden geworden, was eine besorgniserregende Entwicklung darstellt.
Um ihre Websites vor den Angriffskampagnen zu schützen, wird Unternehmen empfohlen, ein starkes/langes Administratorkennwort zu verwenden und ihre Plugins auf die neueste Version zu aktualisieren. Außerdem sollten unnötige Add-ons entfernt werden, die als potenzielle Angriffsfläche dienen können.
