Recente reportagens da mídia revelaram uma campanha de malware malicioso que está ativa nos últimos seis meses. Os relatórios afirmam que o malware WordPress Sign1 infectou e comprometeu mais de 39.000 sites. A partir de agora, acredita-se que a campanha de malware usa injeções maliciosas de JavaScript para redirecionar os usuários para sites fraudulentos.
Neste artigo, veremos como o Malware Sign1 do WordPress foi descoberto, a sequência que os atores da ameaça usam para iniciar os ataques e muito mais. Vamos começar!
Malware Sign1 do WordPress: descoberta inicial
Os pesquisadores da plataforma de segurança e proteção de sites da Sucuri foram os primeiros a encontrar as mais recentes Malware Sign1 do WordPress. A Sucuri ajuda a proteger sites contra ameaças online. Pesquisadores de segurança cibernética da Sucuri descobriram o Malware Sign1 do WordPress quando um anúncio pop-up incomum apareceu em um dos sites de seus clientes.
Os pesquisadores afirmaram que o site de seus clientes foi violado por meio de um ataque de força bruta. Nos seus relatórios é mencionado que o Malware Sign1 do WordPress infectou e comprometeu mais de 39.000 sites. Vale ressaltar aqui que a empresa de segurança cibernética não compartilhou detalhes dos sites que foram violados.
Campanha de malware Sign1 do WordPress de sequência de ataques
Antes de entrarmos nos detalhes de como o Campanha Sign1 de malware WordPress ataques são realizados, saiba que o última onda de ataques impactou mais de 2.500 recursos online. Os atores da ameaça iniciaram a fase em janeiro de 2024.
Dado o número de recursos online impactados desde então, aprender a sequência do ataque é fundamental. Fazer isso pode ajudar as organizações a desenvolver soluções viáveis estratégias de segurança cibernéticalevando a uma postura de segurança aprimorada.
Ganhando acesso
No que diz respeito ao acesso de hackers, um ataque de força bruta foi usado para violar um site pertencente a um dos clientes da Sucuri. Detalhes de outros ataques não foram divulgados até agora.
No entanto, vale ressaltar que outros ataques recentes a sites WordPress não relacionados ao Campanha Sign1 de malware WordPress usou principalmente duas táticas para obter acesso. Essas táticas incluem ataques de força bruta e exploração de vulnerabilidades de plug-ins.
Tais táticas provaram ser bem-sucedidas na obtenção de acesso não autorizado, que poderia ser usado para realizar intenções maliciosas. Diante disso, táticas semelhantes podem ter sido implantadas no Malware Sign1 do WordPress ataques.
Realizando o ataque
Depois que os agentes da ameaça obtiverem acesso, acredita-se que eles usem dois métodos para iniciar o ataque, injetando código JavaScript malicioso. Para injetar o código, os hackers instalam um widget HTML personalizado ou um plugin Simpler Custom CSS e JS. Além disso, os pesquisadores também descobriram que Malware Sign1 do WordPress é capaz de escapar de bloqueios.
Isso é feito usando randomizações baseadas em tempo, que geram novos URLs com base em intervalos de 10 minutos. Esses domínios foram registrados pouco antes de serem usados no ataque e, portanto, não estão em nenhuma lista de bloqueio. De acordo com os relatórios, o objetivo desses URLs é adquirir mais códigos maliciosos que possam ser executados no navegador do visitante.
O Malware Sign1 do WordPress também é capaz de escapar à detecção, tornando-se uma ameaça notável que só pode ser combatida com estratégias robustas. O script malicioso apresenta codificação XOR junto com nomes de variáveis aleatórias, permitindo mascarar sua identidade e prevalência. O código malicioso é usado para atingir visitantes provenientes das principais plataformas.
Alguns exemplos comuns de tais plataformas incluem Facebook, Instagram, Google, Yahoo e outros. Além disso, o malware cria um cookie no navegador para garantir que o pop-up malicioso seja exibido apenas uma vez por visitante. Essa tática de ataque torna menos provável a geração de relatórios para o proprietário do site.
O script então redireciona os visitantes para sites fraudulentos, onde eles são induzidos a ativar notificações do navegador. Uma vez ativadas, essas notificações continuam a fornecer anúncios maliciosos e indesejados aos usuários e dispositivos visados.
Melhores práticas de segurança do WordPress contra Sign1
No que diz respeito às medidas de proteção e mitigação, vale ressaltar que tanto a Sucuri os pesquisadores alertaram que o malware continuou a evoluir nos últimos 6 meses. Relatórios também afirmaram que infecções relacionadas ao Malware Sign1 do WordPress aumenta a cada nova versão.
A cada atualização de versão, o malware se torna mais resiliente e exibe maiores capacidades furtivas. Dado o número de sítios que infectou até à data, essa evolução torna-se cada vez mais um desenvolvimento preocupante, e a salvaguarda contra o Malware Sign1 do WordPress é essencial.
Quando se trata de protegendo sites WordPress de ataques Sign1, recomenda-se que os usuários usem senhas longas e fortes. Plug-ins atualizados para as versões mais recentes e remoção de complementos desnecessários também são incentivados, pois podem reduzir a superfície de ataque e diminuir as chances de violação.
Conclusão
O Malware Sign1 do WordPress, conhecido por estar ativo há 6 meses, infectou e comprometeu mais de 39.000 sites. Vale a pena mencionar aqui que 2.500 deles foram comprometidos desde janeiro de 2024. Como parte dos ataques, os agentes da ameaça utilizam código malicioso, que redireciona os usuários para sites fraudulentos.
Dada a gravidade dos ataques e a preocupante evolução do malware, a utilização medidas proativas de segurança cibernética é essencial porque pode ajudar a melhorar a postura de segurança e reduzir a exposição a ataques.
As fontes desta peça incluem artigos em As notícias dos hackers e BipandoComputador.
A postagem Malware Sign1 do WordPress infecta mais de 39 mil sites em 6 meses apareceu primeiro em TuxCare.
*** Este é um blog distribuído da Security Bloggers Network de TuxCare de autoria de Wajahat Raja. Leia a postagem original em: https://tuxcare.com/blog/wordpress-sign1-malware-infects-over-39k-sites-in-6-months/
Fonte: / securityboulevard.com
