WordPress Sign1 Malware infiziert über 39K Websites in 6 Monaten
Jüngste Medienberichte haben eine bösartige Malware-Kampagne aufgedeckt, die in den letzten sechs Monaten aktiv war. Berichten zufolge hat die WordPress Sign1-Malware über 39.000 Websites infiziert und kompromittiert. Derzeit wird angenommen, dass die Malware-Kampagne bösartige JavaScript-Injektionen verwendet, um Benutzer auf betrügerische Websites umzuleiten.
In diesem Artikel gehen wir darauf ein, wie die WordPress Sign1-Malware entdeckt wurde, wie die Bedrohungsakteure die Angriffe einleiten und vieles mehr. Fangen wir an!
WordPress Sign1 Malware: Erste Entdeckung
Die Forscher der Plattform für Website-Sicherheit und -Schutz von Sucuri waren die ersten, die die jüngste WordPress Sign1-Malware. Sucuri hilft, Websites vor Online-Bedrohungen zu schützen. Die Cybersecurity-Forscher von Sucuri entdeckten die WordPress Sign1-Malware als eine ungewöhnliche Pop-up-Anzeige auf der Website eines ihrer Kunden erschien.
Die Forscher haben festgestellt, dass die Website ihres Kunden durch einen Brute-Force-Angriff angegriffen wurde. In ihren Berichten heißt es, dass die WordPress Sign1-Malware über 39.000 Websites infiziert und kompromittiert hat. Es ist erwähnenswert, dass das Cybersicherheitsunternehmen keine Details zu den angegriffenen Websites bekannt gegeben hat.
Angriffssequenz WordPress Sign1 Malware-Kampagne
Bevor wir uns mit den Details beschäftigen, wie die WordPress-Malware Sign1-Kampagne Angriffe durchgeführt werden, sollten Sie wissen, dass die jüngste Angriffswelle mehr als 2.500 Online-Ressourcen betroffen sind. Die Bedrohungsakteure begannen die Phase im Januar 2024.
In Anbetracht der zahlreichen Online-Ressourcen, die seitdem betroffen sind, ist die Kenntnis der Angriffssequenz von größter Bedeutung. Dies kann Organisationen dabei helfen, praktikable Cybersicherheitsstrategienzu entwickeln, was zu einer verbesserten Sicherheitslage führt.
Zugang erhalten
Was den Zugang von Hackern betrifft, so ist ein Brute-Force-Angriff um in die Website eines Kunden von Sucuri einzudringen. Einzelheiten zu anderen Angriffen wurden bisher nicht bekannt gegeben.
Es ist jedoch erwähnenswert, dass andere aktuelle Angriffe auf WordPress-Websites, die nicht mit der WordPress-Malware Sign1-Kampagne hauptsächlich zwei Taktiken verwendet haben, um sich Zugang zu verschaffen. Zu diesen Taktiken gehören Brute-Force-Angriffe und die Ausnutzung von Plug-in-Schwachstellen.
Diese Taktik hat sich als erfolgreich erwiesen, um sich unbefugten Zugang zu verschaffen, der zur Ausführung bösartiger Absichten genutzt werden konnte. In Anbetracht dessen wurden ähnliche Taktiken möglicherweise bei der WordPress Sign1-Malware Angriffen eingesetzt worden sein.
Die Durchführung des Angriffs
Sobald die Bedrohungsakteure Zugang erlangt haben, verwenden sie vermutlich zwei Methoden, um den Angriff zu starten und bösartigen JavaScript-Code einzuschleusen. Um den Code einzuschleusen, installieren die Hacker entweder ein benutzerdefiniertes HTML-Widget oder ein Simpler Custom CSS and JS Plugin. Darüber hinaus haben die Forscher herausgefunden, dass WordPress Sign1-Malware in der Lage ist, Sperren zu umgehen.
Dazu verwendet er zeitbasierte Zufallsgeneratoren, die in 10-Minuten-Intervallen neue URLs erzeugen. Diese Domänen wurden kurz vor dem Angriff registriert und stehen daher nicht auf einer Sperrliste. Den Berichten zufolge besteht der Zweck dieser URLs darin, mehr bösartigen Code zu erhalten, der im Browser des Besuchers ausgeführt werden kann.
Die WordPress Sign1-Malware ist auch in der Lage, sich der Erkennung zu entziehen, was sie zu einer bemerkenswerten Bedrohung macht, die nur mit robusten Strategien bekämpft werden kann. Das bösartige Skript verfügt über eine XOR-Verschlüsselung sowie zufällige Variablennamen, die es ihm ermöglichen, seine Identität und Verbreitung zu verschleiern. Der bösartige Code wird verwendet, um Besucher von wichtigen Plattformen anzusprechen.
Einige gängige Beispiele für solche Plattformen sind Facebook, Instagram, Google, Yahoo und andere. Darüber hinaus legt die Malware ein Cookie im Browser an, um sicherzustellen, dass das bösartige Pop-up nur einmal pro Besucher angezeigt wird. Eine solche Angriffstaktik macht es unwahrscheinlicher, dass Berichte für den Eigentümer der Website erstellt werden.
Das Skript leitet die Besucher dann auf betrügerische Websites um, wo sie dazu verleitet werden, Browser-Benachrichtigungen zu aktivieren. Einmal aktiviert, liefern diese Benachrichtigungen weiterhin bösartige und unerwünschte Werbung an die anvisierten Nutzer und Geräte.
Best Practices für WordPress-Sicherheit gegen Sign1
Was die Schutz- und Abwehrmaßnahmen angeht, so ist es erwähnenswert, dass sowohl die Sucuri Forscher davor gewarnt haben, dass sich die Malware in den letzten 6 Monaten weiterentwickelt hat. In Berichten wurde außerdem behauptet, dass Infektionen mit der WordPress Sign1-Malware mit jeder neuen Version ansteigt.
Mit jedem Versions-Update wird die Malware widerstandsfähiger und verfügt über verbesserte Tarnfähigkeiten. In Anbetracht der Anzahl der bisher infizierten Websites ist diese Entwicklung zunehmend besorgniserregend, und der Schutz vor der WordPress Sign1-Malware ist unerlässlich.
Wenn es darum geht Schutz von WordPress-Seiten vor Sign1-Angriffenzu schützen, wird empfohlen, lange und sichere Passwörter zu verwenden. Die Aktualisierung von Plug-ins auf die neuesten Versionen und das Entfernen unnötiger Add-ons werden ebenfalls empfohlen, da sie die Angriffsfläche verringern und die Wahrscheinlichkeit eines Einbruchs reduzieren können.
Schlussfolgerung
Die WordPress-Schadprogramm Sign1die bekanntermaßen seit 6 Monaten aktiv ist, hat über 39.000 Websites infiziert und kompromittiert. Es ist erwähnenswert, dass 2.500 davon seit Januar 2024 kompromittiert worden sind. Im Rahmen der Angriffe setzen die Bedrohungsakteure bösartigen Code ein, der die Nutzer auf Betrugsseiten umleitet.
Angesichts der Schwere der Angriffe und der besorgniserregenden Entwicklung der Malware proaktive Cybersicherheitsmaßnahmen von entscheidender Bedeutung, da sie dazu beitragen können, die Sicherheitslage zu verbessern und das Risiko von Angriffen zu verringern.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und BleepingComputer.