Một chiến dịch phần mềm độc hại khổng lồ có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong sáu tháng qua, sử dụng tiêm JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
Biến thể gần đây nhất của phần mềm độc hại được ước tính đã lây nhiễm không dưới 2.500 trang web chỉ trong hai tháng qua, Sucuri cho biết trong một báo cáo được công bố trong tuần này.
Các cuộc tấn công đòi hỏi phải tiêm JavaScript giả mạo vào các tiện ích và plugin HTML hợp pháp cho phép chèn JavaScript tùy ý và các mã khác, cung cấp cho kẻ tấn công cơ hội thêm mã độc hại của chúng.
Mã JavaScript được mã hóa XOR sau đó được giải mã và sử dụng để thực thi tệp JavaScript được lưu trữ trên máy chủ từ xa, điều này cuối cùng tạo điều kiện chuyển hướng đến hệ thống phân phối lưu lượng do VexTrio vận hành (TDS) nhưng chỉ khi đáp ứng các tiêu chí nhất định.
Hơn nữa, phần mềm độc hại sử dụng ngẫu nhiên dựa trên thời gian để tìm nạp các URL động thay đổi cứ sau 10 phút để vượt qua danh sách chặn. Các tên miền này được đăng ký một vài ngày trước khi sử dụng chúng trong các cuộc tấn công.
"Một trong những điều đáng chú ý nhất về mã này là nó đặc biệt tìm kiếm xem liệu khách truy cập có đến từ bất kỳ trang web lớn nào như Google, Facebook, Yahoo, Instagram, v.v.", nhà nghiên cứu bảo mật Ben Martin nói. "Nếu liên kết giới thiệu không khớp với các trang web lớn này, thì phần mềm độc hại sẽ không thực thi."
Khách truy cập trang web sau đó được đưa đến các trang web lừa đảo khác bằng cách thực thi một JavaScript khác từ cùng một máy chủ.
Chiến dịch Sign1, được phát hiện lần đầu tiên vào nửa cuối năm 2023, đã chứng kiến nhiều lần lặp lại, với những kẻ tấn công tận dụng tới 15 tên miền khác nhau kể từ ngày 31/7/2023.
Người ta nghi ngờ rằng các trang web WordPress đã bị chiếm đoạt bằng một cuộc tấn công vũ phu, mặc dù kẻ thù cũng có thể tận dụng các lỗ hổng bảo mật trong các plugin và chủ đề để có quyền truy cập.
"Nhiều mũi tiêm được tìm thấy bên trong các widget HTML tùy chỉnh WordPress mà những kẻ tấn công thêm vào các trang web bị xâm nhập", Martin nói. "Rất thường xuyên, những kẻ tấn công cài đặt một plugin CSS và JS tùy chỉnh đơn giản hợp pháp và tiêm mã độc bằng cách sử dụng plugin này."
Cách tiếp cận không đặt bất kỳ mã độc hại nào vào các tệp máy chủ cho phép phần mềm độc hại không bị phát hiện trong thời gian dài, Sucuri nói.