Une campagne de logiciels malveillants jusque-là inconnue appelée Sign1 a infecté plus de 39 000 sites Web au cours des six derniers mois, ce qui a amené les visiteurs à voir des redirections indésirables et des publicités contextuelles.
Les acteurs de la menace injectent les logiciels malveillants dans des widgets HTML personnalisés et des plugins légitimes sur les sites WordPress pour injecter les scripts Sign1 malveillants plutôt que de modifier les fichiers WordPress réels.
La société de sécurité de sites Web Sucuri a découvert la campagne après que le site Web d’un client a affiché au hasard des publicités contextuelles aux visiteurs.
La campagne de logiciels malveillants Sign1
Alors que le client de Sucuri a été piraté par une attaque par force brute, Sucuri n’a pas expliqué comment les autres sites détectés ont été compromis.
Cependant, sur la base des attaques WordPress précédentes, il s’agit probablement d’une combinaison d’attaques par force brute et d’exploitation des vulnérabilités des plugins pour accéder au site.
Une fois que les acteurs de la menace y ont accès, ils utilisent des widgets HTML personnalisés WordPress ou, plus communément, installent le plugin CSS et JS personnalisé Simple et légitime pour injecter le code JavaScript malveillant.
L’analyse Sucuri du signe 1 montre que le malware utilise une randomisation basée sur le temps pour générer des URL dynamiques qui changent toutes les 10 minutes pour échapper aux blocages. Les domaines sont enregistrés peu de temps avant d’être utilisés dans des attaques, ils ne figurent donc sur aucune liste noire.
Ces URL sont utilisées pour récupérer d’autres scripts malveillants qui sont exécutés dans le navigateur d’un visiteur.
Initialement, les domaines étaient hébergés sur Namecheap, mais les attaquants sont maintenant passés à HETZNER pour l’hébergement et à Cloudflare pour l’obscurcissement des adresses IP.
Le code injecté comporte un encodage XOR et des noms de variables apparemment aléatoires, ce qui rend la détection plus difficile pour les outils de sécurité.
Instagram facebookle code malveillant vérifie la présence de référents et de cookies spécifiques avant de s’exécuter, ciblant les visiteurs des principaux sites tels que Google, Facebook, Yahoo et Instagram et restant inactif dans d’autres cas.
De plus, le code crée un cookie sur le navigateur de la cible afin que la fenêtre contextuelle ne s’affiche qu’une seule fois par visiteur, ce qui la rend moins susceptible de générer des rapports vers le propriétaire du site Web compromis.
Le script redirige ensuite le visiteur vers des sites frauduleux, tels que de faux captchas, qui tentent de vous inciter à activer les notifications du navigateur. Ces notifications diffusent des publicités indésirables directement sur le bureau de votre système d’exploitation.
Sucuri avertit que Sign1 a évolué au cours des six derniers mois, les infections augmentant lorsqu’une nouvelle version du logiciel malveillant est publiée.
Au cours des six derniers mois, les scanners Sucuri ont détecté le logiciel malveillant sur plus de 39 000 sites Web, tandis que la dernière vague d’attaques, en cours depuis janvier 2024, a revendiqué 2 500 sites.
La campagne a évolué au fil du temps pour devenir plus furtive et plus résistante aux blocages, ce qui est une évolution inquiétante.
Pour protéger vos sites contre ces campagnes, utilisez un mot de passe administrateur fort/long et mettez à jour vos plugins vers la dernière version. En outre, les modules complémentaires inutiles doivent être supprimés, ce qui peut constituer une surface d’attaque potentielle.