Sign1 恶意软件感染了 39000 多个 WordPress 网站

速盾高防cdn • 2024年3月23日下午11:48 • 行业资讯

近期，安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站，致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。

Sign1 恶意软件活动

从以往的 WordPress 网站攻击案例来看， Sign1 恶意软件可能采用了暴力攻击或者利用了插件漏洞，一旦威胁攻击者获得了网站访问权限，就会立刻使用 WordPress 自定义 HTML 小工具，或者安装合法的 Simple Custom CSS and JS 插件来注入恶意 JavaScript 代码。

通过简单自定义 CSS 和 JS 插件注入 Sign1 恶意软件来源（来源：Sucuri）

在对 Sign1 恶意软件详细分析后，Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL，每 10 分钟就会更新一次，以躲避安全拦截。（威胁攻击者在开展网络攻击前不久才会注册域名，因此域名不在任何拦截列表中）

这些 URL 被用来获取更多的恶意脚本，并在访问者的浏览器中运行。Sucuri 强调，这些域名一开始都是托管在 Namecheap 上，目前威胁攻击者已经将其转移到 HETZNER 上托管了，并且使用了 Cloudflare 进行 IP 地址混淆。

（图片来源：Sucuri )

注入的代码采用 XOR 编码和看似随机的变量名，这样就使得安全工具更难检测到恶意软件。恶意代码在执行前还会检查特定的推荐人以及 cookie，其主要目标是谷歌、Facebook、雅虎和 Instagram 等主要网站的访问者，而在其他情况下则处于休眠状态。

此外，代码还会在目标浏览器上创建一个 cookie，这样弹出式窗口对每个访客只显示一次，从而降低了向被入侵网站所有者生成报告的可能性。随后，脚本会将访问者重定向到诈骗网站，例如假冒的验证码，试图诱骗访问者启用浏览器通知。（这些通知会将一些广告直接发送到访问者的操作系统桌面上）

值得注意的是，Sucuri 警告称，Sign1 容易软件在过去六个月中不断演变，每当新版恶意软件发布时，感染率就会激增。

每日下载量（来源：Sucuri ）

过去 6 个月中，Sucuri 的扫描仪在 39000 多个网站上检测到了 Sign1 恶意软件。随着时间推移， Sign1 恶意软件活动已经变得更加隐蔽，对拦截的抵御能力也更强了。

最后，网络安全专家指出，为了保护网站免受 Sign1 恶意软件的攻击，网站管理员应当尽量使用强大/冗长的管理员密码、将插件更新到最新版本，并当尽快删除不必要的附加组件。

本文来源连接：

https://www.bleepingcomputer.com/news/security/evasive-sign1-malware-campaign-infects-39-000-wordpress-sites/

原创文章，作者：速盾高防cdn，如若转载，请注明出处：https://www.sudun.com/ask/27975.html

赞 (0)

速盾高防cdn

0 0

WordPress删除Woocommerce默认的Description标签

上一篇 2024年3月23日下午11:47

下一篇 2024年3月23日下午11:49

dns污染的解决方法，dns污染长城防火墙

防火墙对所有经过它的域名解析请求进行屏蔽和过滤，拦截政策规定禁止的内容。这可以有效防止用户访问被篡改、劫持或伪造的恶意网站。 2.3 域名劫持监控拦截防火墙监控并拦截恶意行为者通…

牛晓晓
行业资讯 2024年5月12日
00
Recv failure: Connection was reset

8.利用社交媒体进行宣传。如今，社交媒体已成为重要的宣传渠道。您可以通过微博、微信等方式投放广告，吸引更多用户访问您的网站。什么是网站优化？兰州地区网站优化现状分析从数值上看，…

牛晓晓
行业资讯 2024年4月3日
00
如何利用凡科商城建立自己的网上商城？

云服务器是近年来兴起的一种新型服务器，它将传统的服务器资源进行了整合，使得用户可以通过互联网来访问和使用这些资源。而在众多的云服务器平台中，凡科商城无疑是备受关注的一颗明星。它不仅…

牛晓晓
行业资讯 2024年3月22日
00
如何制作个人主页网站？

你是否曾经想过拥有一个属于自己的个人主页网站？它可以是展示你的个性和才华的舞台，也可以是与他人分享生活和工作经历的平台。但是，制作一个个人主页网站并不简单，需要经过一系列准备工作。…

牛晓晓
行业资讯 2024年4月6日
00

发表回复