Una campaña de malware previamente desconocida llamada Sign1 ha infectado más de 39.000 sitios web durante los últimos seis meses, provocando que los visitantes vean redireccionamientos no deseados y anuncios emergentes.
Los actores de amenazas inyectan el malware en widgets HTML personalizados y complementos legítimos en sitios de WordPress para inyectar scripts maliciosos de Sign1 en lugar de modificar los archivos reales de WordPress.
La empresa de seguridad de sitios web Sucuri descubrió la campaña después de que el sitio web de un cliente mostrara aleatoriamente anuncios emergentes a los visitantes.
Si bien el cliente de Sucuri fue vulnerado mediante un ataque de fuerza bruta, Sucuri no ha compartido cómo se vieron comprometidos los otros sitios detectados.
Sin embargo, según ataques anteriores a WordPress, probablemente implique una combinación de ataques de fuerza bruta y explotación de vulnerabilidades de complementos para obtener acceso al sitio.
Una vez que los actores de amenazas obtienen acceso, utilizan widgets HTML personalizados de WordPress o, más comúnmente, instalan el complemento legítimo Simple Custom CSS y JS para inyectar el código JavaScript malicioso.
El análisis de Sucuri de Sign1 muestra que el malware utiliza aleatorización basada en el tiempo para generar URL dinámicas que cambian cada 10 minutos para evadir bloqueos. Los dominios se registran poco antes de ser utilizados en ataques, por lo que no están en ninguna lista de bloqueo.
Estas URL se utilizan para recuperar más scripts maliciosos que se ejecutan en el navegador de un visitante.
Inicialmente, los dominios estaban alojados en Namecheap, pero los atacantes ahora se trasladaron a HETZNER para el alojamiento y a Cloudflare para la ofuscación de direcciones IP.
El código inyectado presenta codificación XOR y nombres de variables aparentemente aleatorios, lo que dificulta su detección para las herramientas de seguridad.
El código malicioso busca referencias y cookies específicas antes de ejecutarse, y se dirige a visitantes de sitios importantes como Google, Facebook, Yahoo e Instagram y permanece inactivo en otros casos.
Además, el código crea una cookie en el navegador del objetivo para que la ventana emergente se muestre solo una vez por visitante, lo que hace menos probable que genere informes hacia el propietario del sitio web comprometido.
Luego, el script redirige al visitante a sitios fraudulentos, como captchas falsos, que intentan engañarlo para que habilite las notificaciones del navegador. Estas notificaciones envían anuncios no deseados directamente al escritorio de su sistema operativo.
Sucuri advierte que Sign1 ha evolucionado en los últimos seis meses y las infecciones aumentan cuando se lanza una nueva versión del malware.