Programa malicioso Sign1

Una operación de malware previamente desconocida llamada Sign1 se ha infiltrado con éxito en más de 39.000 sitios web en seis meses, lo que ha provocado que los visitantes sean bombardeados con redireccionamientos no deseados y anuncios emergentes. Los autores de esta amenaza implantan el malware en widgets HTML personalizados y complementos auténticos que se encuentran en las plataformas WordPress. En lugar de alterar los archivos originales de WordPress, implementan los scripts inseguros de Sign1 para ejecutar sus nefastas actividades.

La campaña de malware Sign1 ha comprometido casi 40.000 sitios

A partir de violaciones pasadas de WordPress, los investigadores creen que la infiltración de Sign1 Malware probablemente emplea una estrategia dual que involucra ataques de fuerza bruta y la explotación de vulnerabilidades de complementos para violar las defensas del sitio web. Al lograr la entrada, los perpetradores comúnmente utilizan widgets HTML personalizados de WordPress o instalan el aparentemente legítimo complemento Simple Custom CSS y JS para incrustar código JavaScript malévolo.

El examen de Sign1 ha revelado su utilización de aleatorización basada en el tiempo para generar URL dinámicas, que se modifican cada 10 minutos para frustrar la detección. Los dominios se registran poco antes de su utilización en ataques, lo que garantiza que permanezcan ausentes de las listas de bloqueo. Estas URL sirven para conseguir scripts maliciosos adicionales ejecutados en los navegadores de los visitantes.

Inicialmente alojados en Namecheap, los asaltantes migraron sus operaciones a HETZNER para el alojamiento y a Cloudflare para la ocultación de direcciones IP.

El malware Sign1 lleva a las víctimas a sitios dudosos e inseguros

El malware Sign1 inyecta código con codificación XOR y utiliza nombres de variables aparentemente aleatorios, lo que complica la detección de las herramientas de seguridad.

Este código malévolo realiza comprobaciones de cookies y referencias específicas antes de la activación, y se dirige principalmente a visitantes de plataformas destacadas como Google, Facebook, Yahoo e Instagram, mientras que en otros casos permanece inactivo. Además, el código establece una cookie en el navegador del visitante, lo que garantiza que la ventana emergente aparezca solo una vez por visitante, lo que reduce la probabilidad de que el propietario del sitio web comprometido presente informes.

Posteriormente, el script redirige a los visitantes a sitios fraudulentos, como captchas falsificados, diseñados para engañar a los usuarios para que habiliten las notificaciones del navegador. Estas notificaciones luego inundan el escritorio del sistema operativo con anuncios no deseados.

Los expertos advierten que Sign1 ha experimentado una evolución notable durante los seis meses documentados de la campaña, y las infecciones alcanzaron su punto máximo tras el lanzamiento de nuevas versiones del malware.

El malware Sign1 se ha vuelto más difícil de detener

El malware Sign1 se ha detectado en más de 39.000 sitios web, mientras que la última ola de ataques, que ha estado en marcha desde enero de 2024, afectó a 2.500 sitios. La campaña ha evolucionado con el tiempo para volverse más sigilosa y resistente a los bloqueos, lo cual es un hecho preocupante.

Para proteger sus sitios contra las campañas de ataque, se recomienda a las empresas que utilicen una contraseña de administrador larga y segura y actualicen sus complementos a la última versión. Además, se deben eliminar los complementos innecesarios, que pueden actuar como una posible superficie de ataque.