Attenzione, amministratori di WordPress! Una nuova campagna malware sta depredando attivamente i siti Web WordPress, generando annunci popup. Identificato come Sign1, il malware ha preso di mira oltre 2500 siti WordPress nella recente ondata di attacchi, esibendo un comportamento subdolo per evitare il rilevamento.
Il malware Sign1 prende di mira attivamente i siti WordPress
Secondo un recente inviare del servizio di sicurezza WordPress Sucuri hanno rilevato il malware Sign1 che ultimamente infetta attivamente centinaia di siti web.
Come spiegato, i ricercatori hanno trovato il malware incorporato nel plug-in di un sito Web che altrimenti consentirebbe l'inserimento arbitrario di codice da parte dei proprietari del sito. Sebbene tali plugin aiutino gli sviluppatori, gli hacker criminali possono anche abusarne in modo dannoso. In questa campagna i ricercatori hanno rilevato il malware nei plugin custom-css-js.
L'analisi del codice ha permesso ai ricercatori di trovare la randomizzazione basata sul tempo (utilizzando il metodo Date.now funzione), che aiuta ulteriormente il malware a generare URL dinamici. Inoltre, il codice dannoso presenta anche offuscamento, diventando quindi più difficile da rilevare.
Entrambe queste tecniche hanno aiutato gli aggressori a rimanere sotto il radar. Di conseguenza, potrebbero compromettere migliaia di siti Web WordPress prima di attirare l'attenzione di Sucuri. I ricercatori hanno ammesso che il malware è rimasto impercettibile e hanno potuto rilevarne la presenza solo eseguendo la scansione lato server che cerca eventuali modifiche ai file nell'ambiente.
Gli URL dinamici di questo malware generano popup e annunci casuali per i visitatori di un sito compromesso. Tuttavia, il malware prende di mira specificamente i visitatori che provengono da siti importanti come Google e Facebook e non verrà eseguito altrimenti. È così che non è stato rilevato da molti amministratori di siti che raramente utilizzano un motore di ricerca per raggiungere il proprio sito web. Inoltre, garantisce la visualizzazione del popup solo una volta per visitatore.
Grazie alle sue tecniche furtive, il malware Sign1 è riuscito a compromettere con successo oltre 39.000 siti web sin dal suo inizio. Con il passare del tempo, il malware si è evoluto ulteriormente per migliorare le sue capacità dannose, con la recente variante che ha preso di mira oltre 2500 siti Web nell'arco di due mesi.
Per prevenire questa minaccia, i ricercatori consigliano agli utenti di proteggere i pannelli di amministrazione e l'utilizzo dei propri siti firewall del sito web per protezione.
Fateci sapere che ne pensate nei commenti.