El malware WordPress Sign1 infecta más de 39.000 sitios en 6 meses
Recientes informes de los medios de comunicación han revelado una campaña de malware malicioso que ha estado activa durante los últimos seis meses. Los informes afirman que el malware WordPress Sign1 ha infectado y comprometido más de 39.000 sitios. Por el momento, se cree que la campaña de malware utiliza inyecciones maliciosas de JavaScript para redirigir a los usuarios a sitios fraudulentos.
En este artículo, repasaremos cómo el malware WordPress Sign1 la secuencia que utilizan los actores de amenazas para iniciar los ataques, y mucho más. Comencemos.
Malware WordPress Sign1: descubrimiento inicial
Los investigadores de la plataforma de seguridad y protección de sitios web Sucuri fueron los primeros en encontrar el más reciente malware WordPress Sign1. Sucuri ayuda a proteger los sitios web de las amenazas en línea. Los investigadores de ciberseguridad de Sucuri descubrieron el malware WordPress Sign1 cuando apareció un anuncio emergente inusual en uno de los sitios web de sus clientes.
Los investigadores han declarado que el sitio web de su cliente fue violado mediante un ataque de fuerza bruta. En sus informes, se menciona que el malware WordPress Sign1 ha infectado y comprometido más de 39.000 sitios web. Vale la pena mencionar aquí que la empresa de ciberseguridad no ha compartido detalles de los sitios que fueron violados.
Secuencia de ataque de la campaña de malware WordPress Sign1
Antes de entrar en los detalles de cómo la campaña Sign1 de malware para WordPress se llevan a cabo, sepa que la última oleada de ataques ha afectado a más de 2.500 recursos en línea. Los actores de la amenaza iniciaron la fase en enero de 2024.
Dado el número de recursos en línea que ha afectado desde entonces, aprender la secuencia del ataque es primordial. Hacerlo puede ayudar a las organizaciones a desarrollar estrategias de ciberseguridadque conduzcan a una mejor postura de seguridad.
Obtener acceso
En lo que respecta a los hackers que obtienen acceso, un ataque de fuerza bruta a un sitio web perteneciente a uno de los clientes de Sucuri. Por el momento no se han revelado los detalles de otros ataques.
Sin embargo, cabe mencionar que otros ataques recientes a sitios de WordPress no relacionados con la campaña del malware WordPress Sign1 utilizaron principalmente dos tácticas para obtener acceso. Estas tácticas incluyen ataques de fuerza bruta y la explotación de vulnerabilidades de plugins.
Dichas tácticas demostraron tener éxito a la hora de obtener acceso no autorizado, que podía utilizarse para llevar a cabo intenciones maliciosas. Por ello, es posible que se hayan desplegado tácticas similares en el malware malware WordPress Sign1 de WordPress.
Llevar a cabo el ataque
Una vez que los actores de la amenaza han obtenido acceso, se cree que utilizan dos métodos para iniciar el ataque inyectando código JavaScript malicioso. Para inyectar el código, los hackers instalan un widget HTML personalizado o un plugin Simpler Custom CSS and JS. Además, los investigadores también han descubierto que malware WordPress Sign1 es capaz de evadir los bloqueos.
Para ello, utiliza aleatorizaciones basadas en el tiempo, que generan nuevas URL en intervalos de 10 minutos. Estos dominios se registraron poco antes de ser utilizados en el ataque y, por tanto, no figuran en ninguna lista de bloqueo. Según los informes, el objetivo de estas URL es adquirir más código malicioso que pueda ejecutarse en el navegador del visitante.
El malware WordPress Sign1 también es capaz de eludir la detección, lo que lo convierte en una amenaza notable que sólo puede contrarrestarse con estrategias sólidas. El script malicioso presenta codificación XOR junto con nombres de variables aleatorias, lo que le permite enmascarar su identidad y prevalencia. El código malicioso se utiliza para atacar a visitantes procedentes de las principales plataformas.
Algunos ejemplos comunes de este tipo de plataformas son Facebook, Instagram, Google y Yahoo, entre otras. Además, el malware crea una cookie en el navegador para asegurarse de que la ventana emergente maliciosa sólo se muestra una vez por visitante. Esta táctica de ataque hace que sea menos probable que se generen informes para el propietario del sitio web.
A continuación, el script redirige a los visitantes a sitios fraudulentos, donde se les engaña para que activen las notificaciones del navegador. Una vez activadas, estas notificaciones siguen enviando anuncios maliciosos y no deseados a los usuarios y dispositivos objetivo.
Buenas prácticas de seguridad en WordPress contra Sign1
En cuanto a las medidas de protección y mitigación, cabe mencionar que tanto los investigadores de Sucuri han advertido de que el malware ha seguido evolucionando en los últimos 6 meses. Los informes también afirman que las infecciones relacionadas con el malware malware WordPress Sign1 aumentan con cada nueva versión.
Con cada actualización de versión, el malware se hace más resistente y muestra mayores capacidades de ocultación. Dado el número de sitios que ha infectado hasta la fecha, esta evolución es cada vez más preocupante, y la protección contra el malware malware WordPress Sign1 es esencial.
Cuando se trata de proteger sitios WordPress de ataques Sign1se recomienda a los usuarios que utilicen contraseñas largas y seguras. También se recomienda actualizar los plug-ins a las últimas versiones y eliminar los complementos innecesarios, ya que pueden reducir la superficie de ataque y disminuir las posibilidades de que se produzca una brecha.
Conclusión
El malware WordPress Sign1conocido por estar activo durante 6 meses, ha infectado y comprometido más de 39.000 sitios web. Vale la pena mencionar aquí que 2.500 de ellos se han visto comprometidos desde enero de 2024. Como parte de los ataques, los actores de la amenaza utilizan código malicioso que redirige a los usuarios a sitios web fraudulentos.
Dada la gravedad de los ataques y la preocupante evolución del malware, utilizar medidas proactivas de ciberseguridad es esencial, ya que puede ayudar a mejorar la postura de seguridad y reducir la exposición a los ataques.
Las fuentes de este artículo incluyen artículos en The Hacker News y BleepingComputer.