Cybersecurity: attenzione alla campagna Sign1 contro i siti WordPress

Nelle ultime settimane abbiamo parlato di campagne malware veicolate tramite la precedente violazione di siti web, specialmente quelli sviluppati con il CMS WordPress. Purtroppo anche in questo approfondimento parleremo di una nuova minaccia veicolata nello stesso modo chiamata Sign1 e scoperta dagli esperti di cybersecurity di Sucuri.

Da circa sei mesi, infatti, sembra che si stia diffondendo un’ondata di attacchi che ha colpito quasi quarantamila siti WordPress e che, tramite redirect o popup malevoli, può continuare ad avere effetti negativi. Tramite un malware inserito all’interno di widget HTML personalizzati o sfruttando plugin apparentemente legittimi ma vulnerabili gli hacker hanno iniettato script malevoli che si diffondono poi anche su altri portali. L’attacco è stato notato dopo che un utente ha segnalato l’apertura casuale di popup a coloro che visualizzavano le pagine del suo sito. Da lì è stato notato come le credenziali di quest’ultimo siano state trafugate mediante un attacco brute force, ad ogni modo tutti i siti colpiti sono rimasti vittima degli hacker a causa di attacchi come quello appena specificato e dello sfruttamento di falle di sicurezza nei plugin utilizzati.

Una volta avuto accesso al sito, i diffusori di Sign1 avrebbero lavorato sugli widget HTML personalizzati oppure scaricando il plugin Custom CSS e JS, presente nello store di WordPress. Così facendo hanno potuto poi diffondere il codice javascript dannoso che fa in modo da non poter essere scoperto cambiando URL nell’arco di pochissimo tempo ed utilizzando domini registrati di recente di modo da non essere presenti in nessuna blacklist. Tramite il redirect su questi URL viene diffuso il malware, basta che l’utente faccia clic sugli elementi malevoli visualizzati durante le visite ai siti colpiti.

L’attacco è molto sofisticato in quanto gli hacker hanno usato molte altre tecniche che rendono veramente difficili le operazioni di detection, tra le quali figura anche la creazione di uno specifico cookie nel browser dei visitatori di modo che visualizzino i popup malevoli una sola volta. Ovviamente il redirect dopo il clic porta verso portali che mirano a truffare i visitatori chiedendo di abilitare le notifiche su browser.

Sucuri continua a vedere ondate di attacchi di Sign1 coincidenti al rilascio di nuove versioni del malware. L’ultima di queste ondate è quella che si è tenuta nel gennaio 2024, quando si è vista la violazione di almeno 2500 siti. Per proteggersi non ci sono strumenti specifici, ma è importantissimo impostare credenziali d’accesso lunghe e composite per l’accesso ai backend dei siti e l’aggiornamento costante dei plugin presenti su quest’ultimi, così come la rimozione di quelli non utilizzati.

 

Fonte: 1