39 тыс. сайтов на WordPress пострадали от вредоносной кампании Sign1

39 тыс. сайтов на WordPress пострадали от вредоносной кампании Sign1

39 тыс. сайтов на WordPress пострадали от вредоносной кампании Sign1

Ранее не встречавшаяся специалистам вредоносная кампания Sign1 за последние полгода успела заразить более 39 тысяч сайтов на WordPress. Посетителям таких ресурсов показывают навязчивую всплывающую рекламу или перенаправляют их на сторонние веб-сайты.

Атакующие внедряют вредоносный код в кастомные HTML-виджеты и легитимные плагины, что позволяет обойтись без модификации «родных» файлов WordPress.

Кампанию SIgn1 удалось обнаружить специалистам Sucuri, когда сайт одного из клиентов начал выводить посетителям всплывающие рекламные объявления. Позже выяснилось, что клиента взломали с помощью брутфорса.

Исследователи считают, что злоумышленники также могли воспользоваться уязвимостью в одном из установленных на ресурсе плагинов.

После получения доступа операторы Sign1 либо взяли в оборот кастомный HTML-виджет, либо установили легитимный Simple Custom CSS and JS для внедрения вредоносного JavaScript-кода.

 

В Sucuri выяснили, что злоумышленники используют основанную на времени рандомизацию для создания динамических URL (меняются каждые десять минут, чтобы уйти от блокировки). Домены киберпреступников, как правило, созданы недавно, поэтому найти их в чёрных списках нельзя.

Вышеописанные URL используются для получения дополнительных вредоносных скриптов, которые уже запускаются в браузере посетителя. Изначально атакующие использовали Namecheap, но теперь базируются на HETZNER и задействуют Cloudflare для обфускации IP.

 

Эксперты предупреждают, что операторы Sign1 не стоят на месте, постоянно развивая вредонос. Об этом хорошо свидетельствует скачок заражений за последнее время.

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru