Масштабная вредоносная кампания под названием Sign1 за последние шесть месяцев скомпрометировала более 39 000 сайтов WordPress, используя вредоносные инъекции JavaScript для перенаправления пользователей на сайты мошенников.
По оценкам, только за последние два месяца самая последняя разновидность вредоносного ПО заразила не менее 2500 сайтов, говорится в отчете Сукури, опубликованном на этой неделе.
Атаки включают внедрение поддельного JavaScript в законные HTML-виджеты и плагины, которые позволяют вставлять произвольный JavaScript и другой код, предоставляя злоумышленникам возможность добавлять свой вредоносный код.
Код JavaScript в кодировке XOR впоследствии декодируется и используется для выполнения файла JavaScript, размещенного на удаленном сервере, что в конечном итоге облегчает перенаправление в систему распределения трафика (TDS), управляемую VexTrio, но только при соблюдении определенных критериев.
Более того, вредоносная программа использует рандомизацию по времени для получения динамических URL-адресов, которые меняются каждые 10 минут, чтобы обойти списки заблокированных. Эти домены регистрируются за несколько дней до их использования в атаках.
"Одна из самых примечательных особенностей этого кода заключается в том, что он специально проверяет, пришел ли посетитель с каких-либо крупных веб-сайтов, таких как Google, Facebook, Yahoo, Instagram и т.д.", - сказал исследователь безопасности Бен Мартин. "Если реферер не соответствует этим основным сайтам, вредоносная программа не будет запущена".
Затем посетители сайта переходят на другие мошеннические сайты, выполняя другой JavaScript с того же сервера.
Кампания Sign1, впервые обнаруженная во второй половине 2023 года, прошла несколько итераций, с 31 июля 2023 года злоумышленники использовали целых 15 различных доменов.
Есть подозрение, что сайты WordPress были захвачены с помощью атаки методом перебора, хотя злоумышленники также могли использовать недостатки безопасности в плагинах и темах для получения доступа.
"Многие из инъекций находятся внутри пользовательских HTML-виджетов WordPress, которые злоумышленники добавляют на скомпрометированные веб-сайты", - сказал Мартин. "Довольно часто злоумышленники устанавливают законный простой пользовательский плагин CSS и JS и внедряют вредоносный код с помощью этого плагина".
По словам Сукури, такой подход, при котором вредоносный код не помещается в файлы сервера, позволяет вредоносному ПО оставаться незамеченным в течение длительных периодов времени.
