A Sucuri biztonsági kutatói által felfedezett, Sign1 néven nyomon követhető malware kampány az elmúlt hat hónapban már több mint 39 ezer WordPress oldalt veszélyeztetett.
A szakértők szerint, a kiberbűnözők rosszindulatú JavaScript kódokat ültettek a webhelyekre, amelyek ismeretlen weboldalakra továbbították az oldal látogatóit. A SiteCheck-en található adatok segítségével a szakértők megállapították, hogy csak az elmúlt két hónapban 2500 webehelyet érintett a kampány.
A kutatók által publikált jelentés szerint a weboldalakba tetszőleges JavaScript és egyéb kód beillesztését lehetővé tevő bővítmények hasznosak a webhelyek tulajdonosai és fejlesztői számára, de a kiberbűnözők is visszaélhetnek velük. Mivel az ilyen típusú bővítményekkel lehetőség adódik, hogy szinte bármilyen kódot hozzá lehessen adni a weboldalhoz, a támadók gyakran használják őket.
A Sign1 mögött álló fenyegető szereplők által beültetett kódok egy számokkal feltöltött tömböt tartalmaz, mely XOR titkosítást alkalmaz, hogy új értékeket szerezzen. Miután a szakértők visszafejtették a kódot, kiderült, hogy egy távoli szerveren található JavaScript fájl futtatására használták a kódot. A támadók dinamikusan változó URL címeket használtak, mely tíz percenként változott. A kód a felhasználók saját böngészőjében hajtódott végre, mely nem kívánt átirányításokhoz vezetett.
Ez az eset azért különleges, mert a kód ellenőrzi, hogy a felhasználó olyan ismert webhelyről érkezett-e, mint a Google, a Facebook, a Yahoo vagy az Instagram. Ha a látogató nem ezen oldalak valamelyikéről érkezett, a rosszindulatú kód nem fut le, így elkerülve a lebukás esélyét. A kutatók által megfigyelt átirányítások a VexTrio domainekre vezettek.
A kampányt először Denis Sinegubko biztonsági kutató észlelte 2023 második felében. A Sucuri jelentése szerint a csoport 2023. július 31. óta több mint 15 különböző domaint használt fel. 2023 októberében a támadók más obfuszkációs technikára tértek át, és eltávolították a kódokból a kampány nevét is adó „sign1” paramétert.
