La masiva campaña Sign1 infecta más de 39,000 sitios de WordPress con redirecciones fraudulentas

Luis Quiles

marzo 23, 2024

Vulnerabilidad, Seguridad Web

Una masiva campaña de malware apodada Sign1 ha comprometido más de 39,000 sitios de WordPress en los últimos seis meses, utilizando inyecciones maliciosas de JavaScript para redirigir a los usuarios a sitios de estafa.

La variante más reciente del malware se estima que ha infectado no menos de 2,500 sitios en los últimos dos meses solamente, según un informe publicado esta semana por Sucuri.

Los ataques implican la inyección de JavaScript malicioso en widgets HTML y complementos legítimos que permiten la inserción de código JavaScript y otros códigos arbitrarios, brindando a los atacantes la oportunidad de agregar su código malicioso.

El código JavaScript codificado con XOR es posteriormente descifrado y utilizado para ejecutar un archivo JavaScript alojado en un servidor remoto, lo que facilita en última instancia redirecciones a un sistema de distribución de tráfico (TDS) operado por VexTrio, pero solo si se cumplen ciertos criterios.

Además, el malware utiliza la randomización basada en el tiempo para obtener URLs dinámicas que cambian cada 10 minutos para evitar listas de bloqueo. Estos dominios son registrados unos días antes de su uso en ataques.

«Una de las cosas más destacadas sobre este código es que está específicamente diseñado para verificar si el visitante proviene de alguno de los principales sitios web como Google, Facebook, Yahoo, Instagram, etc.,» dijo el investigador de seguridad Ben Martin. «Si el referente no coincide con estos sitios principales, entonces el malware no se ejecutará.»

Los visitantes del sitio son llevados a otros sitios fraudulentos mediante la ejecución de otro JavaScript desde el mismo servidor.

La campaña Sign1, detectada por primera vez en la segunda mitad de 2023, ha presenciado varias iteraciones, con los atacantes aprovechando hasta 15 dominios diferentes desde el 31 de julio de 2023.

Se sospecha que los sitios de WordPress han sido comprometidos mediante un ataque de fuerza bruta, aunque los adversarios también podrían aprovechar fallos de seguridad en complementos y temas para obtener acceso.

«Muchas de las inyecciones se encuentran dentro de los widgets HTML personalizados de WordPress que los atacantes agregan a los sitios web comprometidos», dijo Martin. «Con bastante frecuencia, los atacantes instalan un complemento legítimo llamado Simple Custom CSS and JS y luego inyectan el código malicioso utilizando este complemento».

Este enfoque de no colocar ningún código malicioso en archivos del servidor permite que el malware permanezca indetectado durante períodos prolongados de tiempo, según Sucuri.

Tags :