Le logiciel malveillant WordPress Sign1 infecte plus de 39 000 sites en six mois
Récents Les médias ont révélé l'existence d'une campagne de logiciels malveillants active depuis six mois. Le logiciel malveillant WordPress Sign1 aurait infecté et compromis plus de 39 000 sites. À l'heure actuelle, on pense que la campagne de logiciels malveillants utilise des injections JavaScript malveillantes pour rediriger les utilisateurs vers des sites frauduleux.
Dans cet article, nous allons voir comment le malware malware WordPress Sign1 a été découvert, la séquence utilisée par les acteurs de la menace pour lancer les attaques, et plus encore. C'est parti !
Malware WordPress Sign1 : découverte initiale
Les chercheurs de la plateforme de sécurité et de protection des sites web Sucuri ont été les premiers à trouver le dernier malware logiciel malveillant WordPress Sign1. Sucuri aide à protéger les sites web contre les menaces en ligne. Les chercheurs en cybersécurité de Sucuri ont découvert le logiciel malveillant malware WordPress Sign1 lorsqu'une publicité inhabituelle est apparue sur le site web d'un de leurs clients.
Des chercheurs ont déclaré que le site web de leur client avait été violé par une attaque par force brute. Dans leurs rapports, il est mentionné que le logiciel malveillant logiciel malveillant WordPress Sign1 a infecté et compromis plus de 39 000 sites web. Il convient de préciser que l'entreprise de cybersécurité n'a pas donné de détails sur les sites qui ont été violés.
Séquence d'attaque Campagne de logiciels malveillants WordPress Sign1
Avant d'entrer dans les détails de la campagne campagne du logiciel malveillant WordPress Sign1 sont menées, sachez que la dernière vague d'attaques a touché plus de 2 500 ressources en ligne. Les acteurs de la menace ont commencé cette phase en janvier 2024.
Étant donné le nombre de ressources en ligne touchées depuis lors, il est essentiel de connaître la séquence d'attaque. Cela peut aider les organisations à élaborer des stratégies de cybersécuritéet améliorer ainsi leur position en matière de sécurité.
Obtenir l'accès
En ce qui concerne l'accès des pirates informatiques, une attaque par force brute a été utilisée pour pénétrer un site web appartenant à l'un des clients de Sucuri. Les détails des autres attaques n'ont pas encore été divulgués.
Toutefois, il convient de mentionner que d'autres attaques récentes sur des sites WordPress, sans rapport avec la campagne du logiciel malveillant WordPress Sign1 ont principalement utilisé deux tactiques pour obtenir un accès. Il s'agit des attaques par force brute et de l'exploitation des vulnérabilités des plug-ins.
Ces tactiques ont permis d'obtenir un accès non autorisé, qui a pu être utilisé pour mener à bien des intentions malveillantes. Il est donc possible que des tactiques similaires aient été déployées dans le malware logiciel malveillant WordPress Sign1 WordPress Sign1.
Mener l'attaque
Une fois que les acteurs de la menace ont obtenu l'accès, on pense qu'ils utilisent deux méthodes pour lancer l'attaque en injectant du code JavaScript malveillant. Pour injecter le code, les pirates installent soit un widget HTML personnalisé, soit un plugin Simpler Custom CSS and JS. En outre, les chercheurs ont également découvert que le logiciel malveillant Le logiciel malveillant WordPress Sign1 est capable d'échapper aux blocages.
Pour ce faire, il utilise des randomisations basées sur le temps, qui génèrent de nouvelles URL à des intervalles de 10 minutes. Ces domaines ont été enregistrés peu de temps avant d'être utilisés dans l'attaque et ne figurent donc sur aucune liste de blocage. Selon les rapports, l'objectif de ces URL est d'acquérir davantage de codes malveillants qui peuvent être exécutés sur le navigateur du visiteur.
Le malware logiciel malveillant WordPress Sign1 est également capable d'échapper à la détection, ce qui en fait une menace importante qui ne peut être contrée que par des stratégies robustes. Le script malveillant comporte un codage XOR ainsi que des noms de variables aléatoires, ce qui lui permet de masquer son identité et sa prévalence. Le code malveillant est utilisé pour cibler les visiteurs provenant des principales plateformes.
Parmi les exemples les plus courants de ces plateformes figurent Facebook, Instagram, Google, Yahoo et d'autres. En outre, le logiciel malveillant crée un cookie sur le navigateur pour s'assurer que le pop-up malveillant ne s'affiche qu'une seule fois par visiteur. Une telle tactique d'attaque rend moins probable la génération de rapports pour le propriétaire du site web.
Le script redirige ensuite les visiteurs vers des sites frauduleux, où ils sont incités à activer les notifications du navigateur. Une fois activées, ces notifications continuent de diffuser des publicités malveillantes et indésirables aux utilisateurs et appareils ciblés.
Les meilleures pratiques de sécurité de WordPress contre Sign1
En ce qui concerne les mesures de protection et d'atténuation, il convient de mentionner que les chercheurs de Sucuri ont averti que le logiciel malveillant a continué d'évoluer au cours des six derniers mois. Des rapports ont également affirmé que les infections liées au malware logiciel malveillant WordPress Sign1 augmentent à chaque nouvelle version.
À chaque mise à jour, le logiciel malveillant devient plus résistant et affiche des capacités de furtivité accrues. Compte tenu du nombre de sites qu'il a infectés à ce jour, cette évolution devient de plus en plus préoccupante, et il convient de se prémunir contre le malware logiciel malveillant WordPress Sign1 est essentielle.
Lorsqu'il s'agit de protéger les sites WordPress contre les attaques Sign1il est recommandé aux utilisateurs d'utiliser des mots de passe longs et forts. Il est également recommandé de mettre à jour les plug-ins avec les versions les plus récentes et de supprimer les modules complémentaires inutiles, car cela permet de réduire la surface d'attaque et de diminuer les risques de violation.
Conclusion
Le malware logiciel malveillant WordPress Sign1dont on sait qu'il est actif depuis 6 mois, a infecté et compromis plus de 39 000 sites web. Il convient de préciser que 2 500 d'entre eux ont été compromis depuis janvier 2024. Dans le cadre de ces attaques, les acteurs de la menace utilisent un code malveillant qui redirige les utilisateurs vers des sites frauduleux.
Compte tenu de la gravité des attaques et de l'évolution inquiétante des logiciels malveillants, l'utilisation de mesures de cybersécurité proactives est indispensable. mesures de cybersécurité proactives est essentielle car elle peut contribuer à améliorer la posture de sécurité et à réduire l'exposition aux attaques.
Les sources de cet article comprennent des articles dans The Hacker News et BleepingComputer.