Недавно Sucuri получили обращение от нового клиента, который сообщил о случайных всплывающих окнах на своем сайте. После исследования было обнаружено, что проблему вызывает инъекция JavaScript, связанная с вредоносной кампанией Sign1.
Для выявления источника проблемы Sucuri провели сканирование на стороне сервера и изучили журналы сайта. Проверка плагинов позволила обнаружить нарушение в плагине Custom CSS & JS. Этот плагин позволяет добавлять произвольный JavaScript и другой код на сайт, что злоумышленники могут использовать для размещения вредоносных элементов.
Анализ вредоносного ПО Sign1 показал, что оно использует рандомизацию на основе времени для создания проверочной функции. Он также применяет XOR-кодирование для обфускации значений. В результате этого создается динамический JavaScript-код, который содержит URL-адреса, меняющиеся каждые 10 минут. При выполнении в браузере посетителей сайта, это приводит к нежелательным перенаправлениям и рекламе.
Один из найденных URL-адресов ведет на домен tags.stickloader.info, который был зарегистрирован всего несколько дней назад. Через этот домен вредоносный код получает доступ к браузерам посетителей и выполняется на их устройствах.
Для решения проблемы необходимо удалить вредоносные элементы из плагина Custom CSS & JS. Также, рекомендуется внимательно проверять все плагины, использовать проверку на наличие обновлений и следить за безопасностью веб-сайта в целом.
Indicators of Compromise
Domains
- api.localadswidget.com
- assets.watchasync.com
- cdn.jsdevlvr.info
- cdn.wt-api.top
- js.abc-cdn.online
- js.opttracker.online
- js.schema-forms.org
- l.js-assets.cloud
- load.365analytics.xyz
- page.24supportkit.com
- spf.js-min.site
- stat.counter247.live
- streaming.jsonmediapacks.com
- stylesheet.webstaticcdn.com
- tags.stickloader.info