En los últimos seis meses, una campaña masiva de malware conocida como Sign1 ha afectado a más de 39,000 sitios de WordPress. Para redirigir a los usuarios a sitios de estafa, los adversarios han utilizado inyecciones maliciosas de JavaScript. Se estima que la variante más reciente del malware ha infectado al menos 2,500 sitios en los últimos dos meses. En un informe publicado recientemente, Sucuri informó que los ataques implican la inyección de código JavaScript malicioso en widgets HTML legítimos y plugins que permiten insertar código arbitrario, brindando a los atacantes la oportunidad de agregar su código malicioso.
Para ejecutar un archivo JavaScript alojado en un servidor remoto que facilita las redirecciones a un sistema de distribución de tráfico (TDS) operado por VexTrio, se descifra el código JavaScript cifrado con XOR. El malware también utiliza una aleatorización basada en el tiempo para obtener URLs dinámicas que cambian cada 10 minutos para evitar listas de bloqueo. Además, se registran estos dominios unos días antes de su uso en ataques.
Según las palabras del investigador de seguridad Ben Martin, el malware busca específicamente si el visitante proviene de sitios web importantes como Google, Facebook, Yahoo e Instagram, entre otros. Si el remitente no coincide con estos sitios importantes, entonces el malware no se ejecutará. Los visitantes del sitio son llevados a otros sitios de estafa mediante la ejecución de otro JavaScript desde el mismo servidor.
Sign1 ha presenciado varias iteraciones desde que fue detectada por primera vez en la segunda mitad de 2023. Los atacantes han aprovechado hasta 15 dominios diferentes desde el 31 de julio de 2023. Hay sospechas de que los sitios de WordPress han sido tomados por medio de un ataque de fuerza bruta, aunque los adversarios también pueden aprovechar fallas de seguridad en plugins y temas para obtener acceso.
«Muchas de las inyecciones se encuentran dentro de widgets HTML personalizados de WordPress que los atacantes agregan a los sitios web comprometidos», como explicó Martin a los medios. «Con bastante frecuencia, los atacantes instalan un plugin legítimo de CSS y JS personalizados y luego inyectan el código malicioso usando este plugin». Este enfoque de no insertar ningún código malicioso en los archivos del servidor permite que el malware permanezca indetectable durante períodos prolongados de tiempo, según Sucuri.
Vía The Hacker News
