Campanha massiva Sign1 infecta mais de 39.000 sites WordPress com redirecionamentos fraudulentos
Uma enorme campanha de malware apelidada Sinal1 comprometeu mais de 39.000 websites WordPress nos últimos seis meses, usando injeções maliciosas de JavaScript para redirecionar usuários para websites fraudulentos.
Estima-se que a variante mais recente do malware tenha infectado nada menos que 2.500 websites apenas nos últimos dois meses, disse a Sucuri em um relatório publicado esta semana.
Os ataques envolvem a injeção de JavaScript não autorizado em widgets e plug-ins HTML legítimos que permitem a inserção de JavaScript arbitrário e outros códigos, proporcionando aos invasores a oportunidade de adicionar seu código malicioso.
O código JavaScript codificado em XOR é posteriormente decodificado e usado para executar um arquivo JavaScript hospedado em um servidor remoto, o que facilita os redirecionamentos para um sistema de distribuição de tráfego (TDS) operado pelo VexTrio, mas apenas se determinados critérios forem atendidos.
Além do mais, o malware usa randomização baseada em tempo para buscar URLs dinâmicos que mudam a cada 10 minutos para contornar listas de bloqueio. Esses domínios são registrados alguns dias antes de serem usados em ataques.
“Uma das coisas mais notáveis sobre esse código é que ele procura especificamente ver se o visitante veio de algum web site importante, como Google, Fb, Yahoo, Instagram and so on.”, disse o pesquisador de segurança Ben Martin. “Se o referenciador não corresponder a esses websites principais, o malware não será executado”.
Os visitantes do web site são então levados a outros websites fraudulentos, executando outro JavaScript no mesmo servidor.
A campanha Sign1, detectada pela primeira vez no segundo semestre de 2023, testemunhou várias iterações, com os invasores aproveitando até 15 domínios diferentes desde 31 de julho de 2023.
Suspeita-se que websites WordPress tenham sido invadidos por meio de um ataque de força bruta, embora os adversários também possam aproveitar falhas de segurança em plug-ins e temas para obter acesso.
“Muitas das injeções são encontradas em widgets HTML personalizados do WordPress que os invasores adicionam aos websites comprometidos”, disse Martin. “Muitas vezes, os invasores instalam um plugin legítimo Easy Customized CSS e JS e injetam o código malicioso usando este plugin.”
Essa abordagem de não colocar nenhum código malicioso nos arquivos do servidor permite que o malware permaneça indetectado por longos períodos de tempo, disse Sucuri.
