Serangan malware yang sebelumnya tidak dikenali bernama Sign1 telah menginfeksi lebih dari 39.000 situs web selama enam bulan terakhir, menyebabkan pengunjung melihat pengalihan dan iklan popup yang tidak diinginkan.
Pelaku memasukan malware ke dalam widget HTML khusus dan plugin di situs WordPress untuk menyuntikkan skrip Sign1 yang berbahaya.
Perusahaan keamanan Sucuri menemukan serangan tersebut setelah situs web kliennya secara acak menampilkan iklan popup kepada pengunjung.
Serangan Malware Sign1
Meskipun klien Sucuri dibobol melalui serangan brute force, Sucuri belum membagikan bagaimana situs lain yang terdeteksi disusupi.
Namun, berdasarkan serangan terhadap WordPress sebelumnya, kemungkinan ini melibatkan kombinasi serangan brute force dan eksploitasi kerentanan plugin untuk mendapatkan akses ke situs.
Injecting the Sign1 malware via the Simple Custom CSS and JS plugin
Source : Sucuri
Setelah pelaku ancaman mendapatkan akses, mereka menggunakan widget HTML khusus WordPress atau, yang lebih umum, memasang plugin Simple Custom CSS dan JS yang sah untuk memasukkan kode JavaScript berbahaya.
Analisis Sucuri terhadap Sign1 menunjukkan bahwa malware menggunakan pengacakan berbasis waktu untuk menghasilkan URL dinamis yang berubah setiap 10 menit untuk menghindari pemblokiran. Domain tersebut didaftarkan segera sebelum digunakan dalam serangan, sehingga domain tersebut tidak ada dalam daftar blokir mana pun.
URL ini digunakan untuk mengambil skrip berbahaya lebih lanjut yang dijalankan di browser pengunjung.
Awalnya, domain tersebut dihosting di Namecheap, namun penyerang kini telah berpindah ke HETZNER untuk hosting dan Cloudflare untuk pengaburan alamat IP.
Kode yang disuntikkan menampilkan pengkodean XOR dan nama variabel yang tampaknya acak, sehingga mempersulit pendeteksian alat keamanan.
Domains and number of injections they served
Source: Sucuri
Kode berbahaya ini memeriksa perujuk dan cookie tertentu sebelum dijalankan.
Selain itu, kode tersebut membuat cookie di browser target sehingga popup hanya ditampilkan sekali per pengunjung, sehingga kecil kemungkinannya untuk menghasilkan laporan terhadap pemilik situs web yang disusupi.
Skrip kemudian mengarahkan pengunjung ke situs penipuan, seperti captcha palsu, yang mencoba mengelabui Anda agar mengaktifkan notifikasi browser. Pemberitahuan ini mengirimkan iklan yang tidak diinginkan langsung ke desktop anda.
Daily downloads
Source: Sucuri
Sucuri memperingatkan bahwa Sign1 telah berevolusi selama enam bulan terakhir, dengan mengalami lonjakan infeksi ketika versi awal malware dirilis.
Dalam enam bulan terakhir, pemindai Sucuri mendeteksi malware di lebih dari 39.000 situs web, sementara gelombang serangan terbaru, yang berlangsung sejak Januari 2024, telah kembali merenggut 2.500 situs.
Serangan ini telah berkembang dari waktu ke waktu menjadi lebih tersembunyi dan lebih tahan terhadap pemblokiran, yang merupakan perkembangan yang mengkhawatirkan.
Untuk melindungi situs Anda dari serangan ini, gunakan kata sandi administrator yang kuat/panjang dan perbarui plugin anda ke versi terbaru. Selain itu, add-on yang tidak diperlukan harus dihapus, yang dapat menjadi bagian potensi serangan.
Dikutip dari : Bleeping Computer