La tua soluzione digitale su misura, Assistenza Remota e On-Site, Manutenzione di Server e Reti, Installazione e configurazione di antivirus, firewall e sistemi di protezione avanzati, Assemblaggio di Computer e Workstation personalizzati e Configurazione apparati di Rete

Campagna Malware Evasiva Sign1 Infetta 39.000 Siti WordPress

Campagna Malware Evasiva Sign1 Infetta 39.000 Siti WordPress
Picture of Barollo Simone
Barollo Simone

Sviluppatore Software e Sistemi. Volontario e Direttivo dell'Associazione Movimento 100% APS

Negli ultimi sei mesi, una campagna malware fino ad ora sconosciuta, denominata Sign1, ha infettato oltre 39.000 siti web basati su WordPress. Questo attacco ha portato i visitatori dei siti colpiti a essere reindirizzati verso pagine indesiderate e a ricevere annunci popup molesti.

Analisi Approfondita della Campagna Sign1

La campagna Sign1 è stata scoperta dal team di esperti di sicurezza informatica di Sucuri. Essa si caratterizza per l’iniezione di malware all’interno di widget HTML personalizzati e plugin legittimi utilizzati sui siti WordPress. I malintenzionati hanno adottato questa strategia invece di modificare direttamente i file WordPress per eludere le misure di sicurezza convenzionali.

Modalità di Diffusione e Rilevamento

L’identificazione di questa campagna è avvenuta quando uno dei clienti di Sucuri ha segnalato la comparsa casuale di annunci popup sul proprio sito web. Anche se il vettore di ingresso preciso rimane oscuro, si suppone che gli aggressori abbiano sfruttato una combinazione di attacchi di forza bruta e vulnerabilità nei plugin installati.

Metodi Operativi e Tattiche

Una volta ottenuto l’accesso non autorizzato, i malintenzionati hanno inserito il codice JavaScript malevolo tramite widget HTML personalizzati o, più comunemente, attraverso il plugin Simple Custom CSS and JS. Gli URL utilizzati per distribuire gli script maligni cambiano ad intervalli regolari per eludere la rilevazione e le misure di blocco. Inoltre, i domini utilizzati per ospitare questi script vengono registrati poco prima dell’attacco per sfuggire alle liste di blocco preesistenti.

Iniezione del malware Sign1 tramite il plug-in Simple Custom CSS e JS 
Fonte: Sucuri
Iniezione del malware Sign1 tramite il plug-in Simple Custom CSS e JS
Fonte: Sucuri

Complessità del Codice e Evoluzione dell’Attacco

Il codice inserito presenta un livello di complessità significativo, utilizzando codifica XOR e nomi di variabili apparentemente casuali per ostacolare la rilevazione da parte degli strumenti di sicurezza. Inoltre, gli attaccanti hanno adottato una strategia di esecuzione selettiva basata sui referrer e sui cookie dei visitatori, mirando principalmente a coloro che provengono da siti web di grande rilievo.

Impatto e Crescita dell’Attacco

L’analisi di Sucuri ha rivelato un aumento costante delle infezioni da Sign1 nel corso degli ultimi sei mesi. L’ultima ondata di attacchi, avviata nel gennaio 2024, ha già colpito oltre 2.500 siti web. Questo trend indica una crescente sofisticazione e persistenza dell’attacco, rappresentando una minaccia seria per la sicurezza dei siti WordPress.

Download giornalieri 
plug-in Simple Custom CSS e JS
Download giornalieri
Fonte: Sucuri

Misure di Protezione e Contromisure Consigliate

Per difendersi efficacemente da attacchi come Sign1, è fondamentale adottare una serie di misure preventive. Queste includono l’utilizzo di password amministrative robuste e complesse, l’aggiornamento regolare di tutti i plugin alla versione più recente e la rimozione di plugin non necessari che potrebbero costituire potenziali punti di vulnerabilità.

Salvaguardare l’Integrità dei Siti Web WordPress

La crescente diffusione e l’evoluzione delle campagne malware come Sign1 sottolineano l’importanza di una solida strategia di sicurezza informatica per i siti web basati su WordPress. È essenziale che i proprietari di siti web adottino misure proattive per proteggere i propri asset digitali e preservare l’integrità della propria presenza online.

Condividi Articolo:
Picture of Barollo Simone
Barollo Simone

Sviluppatore Software e Sistemi. Volontario e Direttivo dell'Associazione Movimento 100% APS

Contattaci per maggiori informazioni.

La tua soluzione digitale su misura, Assistenza Remota e On-Site, Manutenzione di Server e Reti, Installazione e configurazione di antivirus, firewall e sistemi di protezione avanzati, Assemblaggio di Computer e Workstation personalizzati e Configurazione apparati di Rete

Cell: +39 379 196 7306

P.IVA 05264020289