Sign1 マルウェア

Sign1 という名前のこれまで知られていなかったマルウェア オペレーションが、6 か月以内に 39,000 以上の Web サイトに侵入することに成功し、その結果、訪問者が不要なリダイレクトやポップアップ広告にさらされるようになりました。この脅威の実行者は、WordPress プラットフォームにあるカスタマイズされた HTML ウィジェットや正規のプラグインにマルウェアを埋め込みます。彼らは、本物の WordPress ファイルを変更する代わりに、安全でない Sign1 スクリプトを展開して、不正な活動を実行します。

Sign1 マルウェア キャンペーンにより約 40,000 のサイトが侵害された

研究者らは、過去の WordPress 侵害から、Sign1 マルウェアの侵入は、ブルートフォース攻撃と、Web サイトの防御を突破するためのプラグインの脆弱性の悪用という二重の戦略を採用している可能性が高いと考えています。侵入者は通常、WordPress カスタム HTML ウィジェットを利用したり、一見正当なシンプル カスタム CSS および JS プラグインをインストールして悪意のある JavaScript コードを埋め込みます。

Sign1 の調査により、動的 URL を生成するために時間ベースのランダム化が利用されており、検出を阻止するために 10 分ごとに変更されていることが明らかになりました。ドメインは攻撃に利用される直前に登録され、ブロックリストに含まれないことが保証されます。これらの URL は、訪問者のブラウザ内で実行される追加の悪意のあるスクリプトを入手するために役立ちます。

当初、攻撃者は Namecheap でホストされていましたが、ホスティングのために HETZNER に運用を移行し、IP アドレス隠蔽のために Cloudflare に運用を移行しました。

Sign1 マルウェアは被害者を疑わしい安全でないサイトに誘導します

Sign1 マルウェアは、XOR エンコーディングを特徴とするコードを挿入し、一見ランダムな変数名を利用するため、セキュリティ ツールの検出が複雑になります。

この悪意のあるコードは、アクティブ化する前に特定のリファラーと Cookie のチェックを実行し、主に Google、Facebook、Yahoo、Instagram などの著名なプラットフォームからの訪問者をターゲットにしていますが、他のインスタンスでは休眠状態にあります。さらに、このコードは訪問者のブラウザに Cookie を確立し、ポップアップが訪問者ごとに 1 回だけ表示されるようにするため、侵害された Web サイトの所有者によって報告される可能性が低くなります。

その後、スクリプトは訪問者を偽のキャプチャなどの詐欺サイトにリダイレクトします。このサイトは、ユーザーを騙してブラウザ通知を有効にするように設計されています。これらの通知により、オペレーティング システムのデスクトップに不要な広告が大量に送信されます。

専門家らは、Sign1 は文書化された 6 か月間のキャンペーン期間中に顕著な進化を遂げており、マルウェアの新バージョンのリリース時に感染がピークに達していると警告しています。

Sign1 マルウェアを阻止するのはさらに困難になっている

Sign1 マルウェアは 39,000 以上の Web サイトで検出されており、2024 年 1 月から進行中の最新の攻撃波では 2,500 のサイトが被害を受けました。このキャンペーンは時間の経過とともに進化し、よりステルス性が高まり、ブロックに対する耐性も向上しましたが、これは憂慮すべき展開です。

攻撃キャンペーンからサイトを保護するために、企業は強力または長い管理者パスワードを使用し、プラグインを最新バージョンに更新することをお勧めします。また、潜在的な攻撃対象となる可能性がある不要なアドオンも削除する必要があります。