Kampanye Sign1 Besar-besaran Menginfeksi 39.000+ Situs WordPress dengan Pengalihan Penipuan
2 mins read

Kampanye Sign1 Besar-besaran Menginfeksi 39.000+ Situs WordPress dengan Pengalihan Penipuan

Kampanye malware besar-besaran yang dijuluki Sign1 telah menyusupi lebih dari 39.000 situs WordPress dalam enam bulan terakhir, menggunakan suntikan JavaScript berbahaya untuk mengarahkan pengguna ke situs penipuan.

Varian malware terbaru ini diperkirakan telah menginfeksi tidak kurang dari 2.500 situs selama dua bulan terakhir saja, kata Sucuri dalam laporan yang diterbitkan minggu ini.

Serangan tersebut memerlukan penyuntikan JavaScript jahat ke dalam widget dan plugin HTML sah yang memungkinkan penyisipan JavaScript sewenang-wenang dan kode lainnya, sehingga memberikan kesempatan kepada penyerang untuk menambahkan kode berbahaya mereka.

Kode JavaScript yang dikodekan XOR selanjutnya didekodekan dan digunakan untuk mengeksekusi file JavaScript yang dihosting di server jarak jauh, yang pada akhirnya memfasilitasi pengalihan ke sistem distribusi lalu lintas (TDS) yang dioperasikan VexTrio tetapi hanya jika kriteria tertentu terpenuhi.

Terlebih lagi, malware ini menggunakan pengacakan berbasis waktu untuk mengambil URL dinamis yang berubah setiap 10 menit untuk menghindari daftar blokir. Domain ini didaftarkan beberapa hari sebelum digunakan dalam serangan.

“Salah satu hal yang paling penting tentang kode ini adalah kode ini secara khusus mencari tahu apakah pengunjungnya berasal dari situs web besar seperti Google, Facebook, Yahoo, Instagram, dll.,” kata peneliti keamanan Ben Martin . “Jika perujuk tidak cocok dengan situs-situs utama ini, malware tidak akan dieksekusi.”

Pengunjung situs kemudian dibawa ke situs penipuan lain dengan menjalankan JavaScript lain dari server yang sama.

Kampanye Sign1, yang pertama kali terdeteksi pada paruh kedua tahun 2023, telah mengalami beberapa kali pengulangan, dengan penyerang memanfaatkan sebanyak 15 domain berbeda sejak 31 Juli 2023.

Ada dugaan bahwa situs WordPress telah diambil alih melalui serangan brute force, meskipun musuh juga dapat memanfaatkan kelemahan keamanan pada plugin dan tema untuk mendapatkan akses.

“Banyak suntikan ditemukan di dalam widget HTML khusus WordPress yang ditambahkan penyerang ke situs web yang disusupi,” kata Martin. “Seringkali, penyerang memasang plugin Simple Custom CSS dan JS yang sah dan menyuntikkan kode berbahaya menggunakan plugin ini.”

Pendekatan dengan tidak menempatkan kode berbahaya apa pun ke dalam file server memungkinkan malware tetap tidak terdeteksi untuk jangka waktu yang lama, kata Sucuri.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *