Sucuri的安全研究人员发现了一个恶意软件攻击活动,被追踪为Sign1,在过去六个月已经感染了39,000个WordPress网站。专家们发现,威胁行为者通过植入恶意的JavaScript注入来感染网站,将访问者重定向到恶意网站。通过查询SiteCheck,研究人员发现该攻击活动在过去两个月内感染了超过2,500个网站。
专家们发布的报告中指出:“允许向网站插入任意JavaScript和其他代码的插件对网站所有者和开发者特别有用,但在受到威胁的环境中也可能被攻击者滥用。由于这些类型的插件允许添加几乎任何代码,攻击者通常利用它们来插入恶意或垃圾内容。确实,检查插件设置后发现我们的罪魁祸首藏在自定义CSS和JS中。”
Sign1背后的威胁行为者向合法插件和HTML小部件中注入恶意JavaScript。注入的代码包括一个硬编码的数字数组,使用XOR编码获取新值。专家解码了XOR编码的JavaScript代码,发现它被用来执行存储在远程服务器上的JavaScript文件。
研究人员注意到攻击者采用了动态变换的URL,动态JavaScript代码的使用允许每10分钟更改URL。该代码在访问者的浏览器中执行,导致不必要的重定向和广告出现在网站访客面前。这段代码很显眼,因为它会检查访问者是否来自像Google、Facebook、Yahoo或Instagram这样的知名网站。如果访问者不是通过这些热门网站引荐过来的,恶意代码就不会运行。威胁行为者利用这一技巧来避免被发现。通常情况下,一个拥有网站的人会直接访问它,而不是先通过搜索引擎。恶意软件利用这种差异来尝试保持隐藏。
研究人员观察到的重定向导致了VexTrio域名。Sign1活动最早是由研究人员Denis Sinegubko在2023年下半年发现的,Sucuri报告称,自2023年7月31日以来,威胁行为者利用了多达15个不同的域名。该活动的名称来源于代码中用于提取和解码第三方恶意URL的sign1参数。到了2023年10月,攻击者开始使用不同的混淆技术,并移除了sign1参数。威胁行为者很可能是通过成功的暴力攻击来感染这些网站的。
报告总结说:“这再次说明,保护管理面板并使用网站监控工具应该是网站所有者的首要任务。”
原文始发于微信公众号(黑猫安全):大规模的签名1恶意软件攻击已经感染了39,000多个WordPress网站
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论