In den letzten sechs Monaten hat eine bisher unbekannte Malware-Kampagne, bekannt als Sign1, über 39.000 Websites infiziert. Besucher dieser Seiten wurden mit unerwünschten Umleitungen und Pop-up-Anzeigen konfrontiert. Die Malware wird in benutzerdefinierte HTML-Widgets und legitime Plugins auf WordPress-Seiten eingespritzt, anstatt die eigentlichen WordPress-Dateien zu verändern.
Die Website-Sicherheitsfirma Sucuri entdeckte die Kampagne nachdem Pop-up-Anzeigen zufällig auf der Website eines Kunden angezeigt wurden. Obwohl der Kunde von Sucuri durch einen Brute-Force-Angriff kompromittiert wurde, hat Sucuri nicht mitgeteilt, wie die anderen betroffenen Seiten kompromittiert wurden. Es wird jedoch angenommen, dass eine Kombination aus Brute-Force-Angriffen und dem Ausnutzen von Plugin-Schwachstellen zum Zugriff auf die Seite verwendet wurde.
Sobald die Angreifer Zugriff erhalten haben, nutzen sie entweder WordPress-Custom-HTML-Widgets oder installieren häufiger das legitime Plugin „Simple Custom CSS and JS“, um den schädlichen JavaScript-Code einzufügen. Die Malware nutzt zeitbasierte Randomisierung, um dynamische URLs zu generieren, die alle 10 Minuten wechseln, was die Blockierung erschwert. Diese URLs werden verwendet, um weitere schädliche Skripte zu laden, die im Browser des Besuchers ausgeführt werden.
Das injizierte Skript führt gezielte Aktionen nur bei Besuchern von großen Seiten wie Google, Facebook, Yahoo und Instagram durch und bleibt in anderen Fällen inaktiv. Zudem wird ein Cookie im Browser des Ziels erstellt, sodass das Popup nur einmal pro Besucher angezeigt wird, was die Wahrscheinlichkeit von Meldungen an den Website-Betreiber verringert.
Die Skripte leiten den Besucher dann auf Betrugsseiten um, beispielsweise auf gefälschte Captchas, die versuchen, den Nutzer dazu zu bringen, Browser-Benachrichtigungen zu aktivieren. Diese Benachrichtigungen liefern unerwünschte Werbung direkt auf den Desktop des Betriebssystems.
Sucuri warnt, dass Sign1 in den letzten sechs Monaten mehrfach weiterentwickelt wurde, mit einem Anstieg der Infektionen bei der Veröffentlichung einer neuen Version der Malware. Um Ihre Seiten vor solchen Kampagnen zu schützen, wird empfohlen, ein starkes/langes Administratorkennwort zu verwenden, Ihre Plugins auf die neueste Version zu aktualisieren und unnötige Add-Ons zu entfernen, die als potenzielle Angriffsfläche dienen können.