A empresa de segurança de sites Sucuri descobriu que o malware Evasive Sign1 infectou 39.000 sites WordPress.
Uma campanha de malware anteriormente desconhecida chamada Sign1 infectou mais de 39.000 sites nos últimos seis meses, fazendo com que os visitantes vissem redirecionamentos indesejados e anúncios pop-up.
Malware Evasive Sign1 infectou 39.000 sites WordPress
Os agentes da ameaça injetam o malware em widgets HTML personalizados e plug-ins legítimos em sites WordPress para injetar scripts Sign1 maliciosos em vez de modificar os arquivos reais do WordPress.
A empresa de segurança de sites Sucuri descobriu a campanha depois que o site de um cliente exibiu anúncios pop-up aleatoriamente aos visitantes.
Embora o cliente da Sucuri tenha sido violado por meio de um ataque de força bruta, a Sucuri não compartilhou como os outros sites detectados foram comprometidos.
No entanto, com base em ataques anteriores do WordPress, provavelmente envolve uma combinação de ataques de força bruta e exploração de vulnerabilidades de plugins para obter acesso ao site.
Depois que os agentes da ameaça obtêm acesso, eles usam widgets HTML personalizados do WordPress ou, mais comumente, instalam o plugin legítimo Simple Custom CSS e JS para injetar o código JavaScript malicioso.
A análise do Sign1 pela Sucuri mostra que o malware usa randomização baseada em tempo para gerar URLs dinâmicos que mudam a cada 10 minutos para evitar bloqueios. Os domínios são registrados pouco antes de serem usados em ataques, portanto não estão em nenhuma lista de bloqueio.
Esses URLs são usados para buscar outros scripts maliciosos que são executados no navegador do visitante.
Inicialmente, os domínios eram hospedados no Namecheap, mas os invasores agora migraram para HETZNER para hospedagem e Cloudflare para ofuscação de endereços IP.
O código injetado apresenta codificação XOR e nomes de variáveis aparentemente aleatórios, dificultando a detecção pelas ferramentas de segurança.
O código malicioso verifica referências e cookies específicos antes de ser executado, visando visitantes de sites importantes como Google, Facebook, Yahoo e Instagram e permanecendo inativo em outros casos.
Além disso, o código cria um cookie no navegador do alvo para que o pop-up seja exibido apenas uma vez por visitante, diminuindo a probabilidade de gerar relatórios para o proprietário do site comprometido.
O script então redireciona o visitante para sites fraudulentos, como captchas falsos, que tentam induzi-lo a ativar as notificações do navegador. Essas notificações entregam anúncios indesejados diretamente na área de trabalho do sistema operacional.
A Sucuri alerta que o Sign1 evoluiu nos últimos seis meses, com infecções aumentando quando uma nova versão do malware é lançada.
Nos últimos seis meses, os scanners da Sucuri detectaram malware em mais de 39.000 sites, enquanto a última onda de ataques, que está em andamento desde janeiro de 2024, reivindicou 2.500 sites.
A campanha evoluiu ao longo do tempo para se tornar mais furtiva e mais resistente aos bloqueios, o que é um desenvolvimento preocupante.
Para proteger seus sites contra essas campanhas, use uma senha de administrador forte/longa e atualize seus plug-ins para a versão mais recente. Além disso, complementos desnecessários devem ser removidos, o que pode atuar como uma superfície de ataque potencial.