Logiciel malveillant Sign1
Une opération malveillante jusqu'alors inconnue nommée Sign1 a réussi à infiltrer plus de 39 000 sites Web en six mois, ce qui a provoqué le bombardement des visiteurs de redirections indésirables et de publicités contextuelles. Les auteurs de cette menace implantent le malware dans des widgets HTML personnalisés et des plugins authentiques trouvés sur les plateformes WordPress. Au lieu de modifier les véritables fichiers WordPress, ils déploient les scripts dangereux Sign1 pour exécuter leurs activités néfastes.
Table des matières
La campagne Sign1 Malware a compromis près de 40 000 sites
S’appuyant sur les violations passées de WordPress, les chercheurs estiment que l’infiltration de Sign1 Malware utilise probablement une double stratégie impliquant des attaques par force brute et l’exploitation des vulnérabilités des plugins pour violer les défenses du site Web. Une fois entrés, les auteurs utilisent généralement des widgets HTML personnalisés WordPress ou installent le plugin Simple Custom CSS et JS apparemment légitime pour intégrer du code JavaScript malveillant.
Examination of Sign1 a dévoilé son utilisation de la randomisation basée sur le temps pour générer des URL dynamiques, en les modifiant toutes les 10 minutes pour contrecarrer la détection. Les domaines sont enregistrés peu de temps avant leur utilisation dans des attaques, garantissant ainsi qu'ils restent absents des listes de blocage. Ces URL servent à générer des scripts malveillants supplémentaires exécutés dans les navigateurs des visiteurs.
Initialement hébergés sur Namecheap, les assaillants ont migré leurs opérations vers HETZNER pour l'hébergement et Cloudflare pour la dissimulation d'adresses IP.
Le logiciel malveillant Sign1 emmène les victimes vers des sites douteux et dangereux
Le logiciel malveillant Sign1 injecte du code comportant un codage XOR et utilise des noms de variables apparemment aléatoires, compliquant ainsi la détection pour les outils de sécurité.
Ce code malveillant vérifie les référents et les cookies spécifiques avant l'activation, ciblant principalement les visiteurs de plateformes de premier plan telles que Google, Facebook, Yahoo et Instagram, tout en restant inactif dans d'autres cas. De plus, le code établit un cookie sur le navigateur du visiteur, garantissant que la fenêtre contextuelle n'apparaît qu'une seule fois par visiteur, réduisant ainsi la probabilité que des rapports soient déposés par le propriétaire du site Web compromis.
Par la suite, le script redirige les visiteurs vers des sites frauduleux, tels que des captchas contrefaits, conçus pour inciter les utilisateurs à activer les notifications du navigateur. Ces notifications inondent ensuite le bureau du système d’exploitation de publicités indésirables.
Les experts préviennent que Sign1 a connu une évolution notable au cours des six mois documentés de la campagne, les infections culminant lors de la publication de nouvelles versions du malware.
Le logiciel malveillant Sign1 est devenu plus difficile à arrêter
Le logiciel malveillant Sign1 a été détecté sur plus de 39 000 sites Web, tandis que la dernière vague d'attaques, en cours depuis janvier 2024, a coûté la vie à 2 500 sites. La campagne a évolué au fil du temps pour devenir plus furtive et plus résistante aux blocages, ce qui est une évolution inquiétante.
Pour protéger leurs sites contre les campagnes d'attaque, il est conseillé aux entreprises d'utiliser un mot de passe administrateur fort/long et de mettre à jour leurs plugins vers la dernière version. En outre, les modules complémentaires inutiles doivent être supprimés, car ils peuvent constituer une surface d’attaque potentielle.
