ClickCease WordPress Sign1 Malware infiziert über 39K Websites in 6 Monaten

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

WordPress Sign1 Malware infiziert über 39K Websites in 6 Monaten

von Wajahat Raja

1. April 2024. TuxCare-Expertenteam

Jüngste Medienberichte haben eine bösartige Malware-Kampagne aufgedeckt, die in den letzten sechs Monaten aktiv war. Berichten zufolge hat die WordPress Sign1-Malware über 39.000 Websites infiziert und kompromittiert. Derzeit wird angenommen, dass die Malware-Kampagne bösartige JavaScript-Injektionen verwendet, um Benutzer auf betrügerische Websites umzuleiten.

In diesem Artikel gehen wir darauf ein, wie die WordPress Sign1-Malware entdeckt wurde, wie die Bedrohungsakteure die Angriffe einleiten und vieles mehr. Fangen wir an!

 

WordPress Sign1 Malware: Erste Entdeckung  


Die Forscher der Plattform für Website-Sicherheit und -Schutz von Sucuri waren die ersten, die die jüngste
WordPress Sign1-Malware. Sucuri hilft, Websites vor Online-Bedrohungen zu schützen. Die Cybersecurity-Forscher von Sucuri entdeckten die WordPress Sign1-Malware als eine ungewöhnliche Pop-up-Anzeige auf der Website eines ihrer Kunden erschien.

Die Forscher haben festgestellt, dass die Website ihres Kunden durch einen Brute-Force-Angriff angegriffen wurde. In ihren Berichten heißt es, dass die WordPress Sign1-Malware über 39.000 Websites infiziert und kompromittiert hat. Es ist erwähnenswert, dass das Cybersicherheitsunternehmen keine Details zu den angegriffenen Websites bekannt gegeben hat.


Angriffssequenz WordPress Sign1 Malware-Kampagne 


Bevor wir uns mit den Details beschäftigen, wie die
WordPress-Malware Sign1-Kampagne Angriffe durchgeführt werden, sollten Sie wissen, dass die jüngste Angriffswelle mehr als 2.500 Online-Ressourcen betroffen sind. Die Bedrohungsakteure begannen die Phase im Januar 2024.

In Anbetracht der zahlreichen Online-Ressourcen, die seitdem betroffen sind, ist die Kenntnis der Angriffssequenz von größter Bedeutung. Dies kann Organisationen dabei helfen, praktikable Cybersicherheitsstrategienzu entwickeln, was zu einer verbesserten Sicherheitslage führt.


Zugang erhalten 


Was den Zugang von Hackern betrifft, so ist ein
Brute-Force-Angriff um in die Website eines Kunden von Sucuri einzudringen. Einzelheiten zu anderen Angriffen wurden bisher nicht bekannt gegeben.

Es ist jedoch erwähnenswert, dass andere aktuelle Angriffe auf WordPress-Websites, die nicht mit der WordPress-Malware Sign1-Kampagne hauptsächlich zwei Taktiken verwendet haben, um sich Zugang zu verschaffen. Zu diesen Taktiken gehören Brute-Force-Angriffe und die Ausnutzung von Plug-in-Schwachstellen.

Diese Taktik hat sich als erfolgreich erwiesen, um sich unbefugten Zugang zu verschaffen, der zur Ausführung bösartiger Absichten genutzt werden konnte. In Anbetracht dessen wurden ähnliche Taktiken möglicherweise bei der WordPress Sign1-Malware Angriffen eingesetzt worden sein.


Die Durchführung des Angriffs 


Sobald die Bedrohungsakteure Zugang erlangt haben, verwenden sie vermutlich zwei Methoden, um den Angriff zu starten und bösartigen JavaScript-Code einzuschleusen. Um den Code einzuschleusen, installieren die Hacker entweder ein benutzerdefiniertes HTML-Widget oder ein Simpler Custom CSS and JS Plugin. Darüber hinaus haben die Forscher herausgefunden, dass
WordPress Sign1-Malware in der Lage ist, Sperren zu umgehen.

Dazu verwendet er zeitbasierte Zufallsgeneratoren, die in 10-Minuten-Intervallen neue URLs erzeugen. Diese Domänen wurden kurz vor dem Angriff registriert und stehen daher nicht auf einer Sperrliste. Den Berichten zufolge besteht der Zweck dieser URLs darin, mehr bösartigen Code zu erhalten, der im Browser des Besuchers ausgeführt werden kann. 

Die WordPress Sign1-Malware ist auch in der Lage, sich der Erkennung zu entziehen, was sie zu einer bemerkenswerten Bedrohung macht, die nur mit robusten Strategien bekämpft werden kann. Das bösartige Skript verfügt über eine XOR-Verschlüsselung sowie zufällige Variablennamen, die es ihm ermöglichen, seine Identität und Verbreitung zu verschleiern. Der bösartige Code wird verwendet, um Besucher von wichtigen Plattformen anzusprechen.

Einige gängige Beispiele für solche Plattformen sind Facebook, Instagram, Google, Yahoo und andere. Darüber hinaus legt die Malware ein Cookie im Browser an, um sicherzustellen, dass das bösartige Pop-up nur einmal pro Besucher angezeigt wird. Eine solche Angriffstaktik macht es unwahrscheinlicher, dass Berichte für den Eigentümer der Website erstellt werden.

Das Skript leitet die Besucher dann auf betrügerische Websites um, wo sie dazu verleitet werden, Browser-Benachrichtigungen zu aktivieren. Einmal aktiviert, liefern diese Benachrichtigungen weiterhin bösartige und unerwünschte Werbung an die anvisierten Nutzer und Geräte.


Best Practices für WordPress-Sicherheit gegen Sign1 


Was die Schutz- und Abwehrmaßnahmen angeht, so ist es erwähnenswert, dass sowohl die Sucuri
Forscher davor gewarnt haben, dass sich die Malware in den letzten 6 Monaten weiterentwickelt hat. In Berichten wurde außerdem behauptet, dass Infektionen mit der WordPress Sign1-Malware mit jeder neuen Version ansteigt.

Mit jedem Versions-Update wird die Malware widerstandsfähiger und verfügt über verbesserte Tarnfähigkeiten. In Anbetracht der Anzahl der bisher infizierten Websites ist diese Entwicklung zunehmend besorgniserregend, und der Schutz vor der WordPress Sign1-Malware ist unerlässlich.

Wenn es darum geht Schutz von WordPress-Seiten vor Sign1-Angriffenzu schützen, wird empfohlen, lange und sichere Passwörter zu verwenden. Die Aktualisierung von Plug-ins auf die neuesten Versionen und das Entfernen unnötiger Add-ons werden ebenfalls empfohlen, da sie die Angriffsfläche verringern und die Wahrscheinlichkeit eines Einbruchs reduzieren können.


Schlussfolgerung 


Die
WordPress-Schadprogramm Sign1die bekanntermaßen seit 6 Monaten aktiv ist, hat über 39.000 Websites infiziert und kompromittiert. Es ist erwähnenswert, dass 2.500 davon seit Januar 2024 kompromittiert worden sind. Im Rahmen der Angriffe setzen die Bedrohungsakteure bösartigen Code ein, der die Nutzer auf Betrugsseiten umleitet.

Angesichts der Schwere der Angriffe und der besorgniserregenden Entwicklung der Malware proaktive Cybersicherheitsmaßnahmen von entscheidender Bedeutung, da sie dazu beitragen können, die Sicherheitslage zu verbessern und das Risiko von Angriffen zu verringern.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und BleepingComputer.

 

Zusammenfassung
WordPress Sign1 Malware infiziert über 39K Websites in 6 Monaten
Artikel Name
WordPress Sign1 Malware infiziert über 39K Websites in 6 Monaten
Beschreibung
Die WordPress-Malware Sign1 hat über 39.000 Websites infiziert und kompromittiert. Erfahren Sie alles über den Angriff und seine Ursprünge. Bleiben Sie informiert, bleiben Sie geschützt!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!