El análisis de la campaña del malware Sign1 revelan una estrategia compleja y meticulosamente orquestada para comprometer sitios web a través de WordPress, explotando la flexibilidad y funcionalidad que ofrecen los plugins legítimos y widgets HTML personalizados. Esta campaña, descubierta por la firma de seguridad web Sucuri, destaca por su ingeniosa explotación de las herramientas diseñadas para enriquecer la experiencia del usuario y la personalización del sitio, como el plugin Simple Custom CSS and JS, transformándolas en vectores de ataque para la distribución de contenido malicioso.
La sofisticación del Sign1 reside en su capacidad para inyectar scripts maliciosos sin alterar los archivos del servidor, utilizando en su lugar widgets HTML personalizados que solo contienen código malicioso y, por tanto, permanecen invisibles en las páginas web visualizadas por los usuarios finales. Esta técnica de infección, que aprovecha los plugins que permiten la inserción de código JavaScript arbitrario entre otros, refleja una comprensión profunda de los atacantes sobre el ecosistema de WordPress y los métodos de seguridad convencionales. Al inyectar el código malicioso a través de estos medios, el malware evade la detección tradicional basada en el análisis de archivos del servidor, ya que es menos común que las medidas de seguridad se extiendan a la revisión exhaustiva de la base de datos del sitio web.
Acerca del malware Sign1
La campaña de Sign1, caracterizada por la generación de URLs dinámicas y el empleo de técnicas de codificación avanzadas, muestra una operación bien coordinada con el objetivo de monetizar el tráfico web malicioso. Los anuncios pop-up inusuales en sitios web comprometidos fueron uno de los primeros indicadores que llevaron a su descubrimiento. Este enfoque no solo permite a los atacantes insertar su carga útil de manera sigilosa, sino que también complica los esfuerzos para erradicar el malware, dada su habilidad para permanecer oculto dentro de componentes legítimos del sitio.
Este análisis destaca la importancia de una vigilancia constante y de prácticas de seguridad rigurosas por parte de los propietarios y desarrolladores de sitios web, especialmente aquellos que utilizan WordPress. La revisión regular de los plugins y widgets, la restricción del código que se puede insertar a través de ellos y el monitoreo continuo para detectar comportamientos inusuales en el sitio son esenciales para mitigar el riesgo de infección por campañas como la de Sign1. La colaboración con firmas de seguridad especializadas y la implementación de soluciones avanzadas de protección web pueden proporcionar una capa adicional de defensa contra estas amenazas cada vez más sofisticadas.
Acciones a tomar
Actualizar Plugins: Es crucial actualizar todos los plugins de WordPress a sus últimas versiones para corregir vulnerabilidades conocidas. La eliminación de plugins innecesarios también puede reducir la superficie de ataque.
Contraseñas Fuertes: Utilizar contraseñas robustas y únicas para todas las cuentas de administrador de WordPress.
Herramientas de Seguridad: Emplear firewalls de aplicaciones web (WAF), escáneres de malware, y soluciones de seguridad específicas de WordPress que pueden detectar y mitigar ataques automatizados y otras amenazas comunes.
Para detectar y eliminar el malware Sign1, recomendamos utilizar complementos antivirus especiales como Sucuri y MalCare, que pueden escanear todos los archivos de WordPress y eliminar cuidadosamente las inyecciones.
Indicadores de compromiso (IoC)
En la siguiente tabla puede encontrar los nombres de dominio utilizados por diferentes oleadas de infecciones por malware Sign1, sus fechas de registro y las consultas PublicWWW que pueden ayudar a estimar el número de sitios infectados.
| Domain | Registration Date | PublicWWW Detections |
| js.abc-cdn[.]online | 31/7/2023 | 1873 sites |
| spf.js-min[.]site | 07/09/23 | 581 sites |
| cdn.jsdevlvr[.]info | 18/9/2023 | 245 sites |
| cdn.wt-api[.]top | 22/9/2023 | 316 sites |
| load.365analytics[.]xyz | 17/10/2023 | 2790 sites |
| stat.counter247[.]live | 18/10/2023 | 1089 sites |
| js.opttracker[.]online | 19/10/2023 | 3667 sites |
| l.js-assets[.]cloud | 25/10/2023 | 4445 sites |
| api.localadswidget[.]com | 24/11/2023 | 1229 sites |
| page.24supportkit[.]com | 05/12/23 | 2163 sites |
| streaming.jsonmediapacks[.]com | 29/12/2023 | 1291 sites |
| js.schema-forms[.]org | 18/1/2024 | N/A |
| stylesheet.webstaticcdn[.]com | 05/02/24 | N/A |
| assets.watchasync[.]com | 22/2/2024 | N/A |
| tags.stickloader[.]info | 06/03/24 | N/A |
Tabla. Dominios utilizados por diferentes oleadas de infecciones por malware Sign1
Inicialmente, los dominios estaban alojados en el servidor 162.0.228.112 de Namecheap. Después, los atacantes empezaron a utilizar un servidor de la red HETZNER (5.75.230.95, 95.217.217.254, 128.140.70.175) y empezaron a utilizar Cloudflare para ocultar la ubicación del servidor.
Referencia:
https://www.securityweek.com/39000-websites-infected-in-sign1-malware-campaign
