WordPress: campagna malware Sign1 infetta oltre 39.000 siti web

Una campagna malware chiamata Sign1 (precedentemente sconosciuta) ha infettato più di 39.000 siti web negli ultimi sei mesi, causando la visualizzazione di reindirizzamenti e annunci popup indesiderati. Gli autori delle minacce inseriscono il malware in widget HTML personalizzati e plug-in legittimi sui siti WordPress. In questo modo riescono a iniettare gli script Sign1 dannosi anziché modificare i file WordPress effettivi. A scoprire tale campagna è stata l’agenzia di sicurezza Sucuri, dopo che il sito web di un cliente mostrava in modo casuale annunci popup indesiderati. Il sito del cliente di Sucuri è stato violato tramite un attacco di forza bruta. Tuttavia, l’agenzia non ha condiviso il modo in cui gli altri siti rilevati sono stati compromessi.

WordPress: come funziona l’attacco di Sign1

Sulla base dei precedenti attacchi a WordPress, è probabile che gli autori delle minacce abbiano usato una combinazione di attacchi di forza bruta e sfruttamento delle vulnerabilità dei plugin per ottenere l’accesso al sito. Fatto ciò, gli hacker usavano i widget HTML personalizzati di WordPress. In alternativa installano il legittimo plug-in Simple Custom CSS e JS per iniettare il codice JavaScript dannoso. L'analisi di Sucuri mostra che il malware utilizza la randomizzazione basata sul tempo per generare URL dinamici. Questi cambiano ogni 10 minuti per eludere i blocchi. I domini vengono registrati poco prima di essere utilizzati negli attacchi, quindi non sono presenti in nessuna blocklist. Questi URL vengono utilizzati per recuperare ulteriori script dannosi eseguiti nel browser di un visitatore.  Inizialmente i domini erano ospitati su Namecheap, ma ora gli aggressori si sono rivolti a HETZNER per l'hosting e a Cloudflare per l'offuscamento degli indirizzi IP.

Il codice inserito presenta la codifica XOR e nomi di variabili apparentemente casuali, rendendone più difficile il rilevamento. Il codice dannoso verifica la presenza di referrer e cookie specifici prima di essere eseguito. La campagna prende di mira visitatori di siti come Google, Facebook, Yahoo e Instagram. Inoltre, il codice crea un cookie nel browser della vittima affinché il popup venga visualizzato solo una volta per visitatore. Ciò rende meno probabile la generazione di report nei confronti del proprietario del sito web compromesso. Lo script reindirizza il visitatore a siti truffa che inducono con l’inganno ad abilitare le notifiche del browser. Queste notifiche forniscono pubblicità indesiderate direttamente sul desktop del sistema operativo. Per proteggersi da tali attacchi è consigliato utilizzare password WordPress complesse e aggiornare i plug-in alla versione più recente. Inoltre, è utile rimuovere i plugin non necessari, che possono fungere da potenziale superficie di attacco.