Кампания вируса Sign1 уже заражена 39 000 сайтами на WordPress.

Here is the updated text with the requested formatting:

Крупная кампания вредоносного ПО

Отслеживаемая под названием Sign1, уже за последние шесть месяцев скомпрометировала 39 000 сайтов на WordPress.

Обнаружение кампании Sign1

Исследователи безопасности из Sucuri обнаружили кампанию вредоносного ПО, отслеживаемую как Sign1, которая уже скомпрометировала 39 000 сайтов на WordPress за последние полгода.

Вредоносные вставки JavaScript

Эксперты обнаружили, что злоумышленники внедряют вредоносные вставки JavaScript на веб-сайты, перенаправляя пользователей на вредоносные веб-сайты. Исследователи, обратившись к SiteCheck, обнаружили, что в рамках этой кампании заражено более 2 500 сайтов за последние два месяца.

"Плагины, позволяющие вставлять произвольный JavaScript и другой код на сайт, особенно полезны для владельцев и разработчиков веб-сайтов, но могут также злоупотребляться злоумышленниками в скомпрометированной среде. Поскольку такие типы плагинов позволяют добавить практически любой код, злоумышленники часто используют их для вставки своей вредоносной или спамовой нагрузки", - гласит отчет экспертов.

"Как и следовало ожидать, проверка настроек плагина выявила нашего подозреваемого, скрытого в админке CSS & JS".

Внедрение вредоносного JavaScript

Угрозы Sign1 внедряют вредоносный JavaScript в легитимные плагины и HTML-виджеты. Внедренный код включает в себя захардкоженный массив чисел, который использует кодирование XOR для получения новых значений.

Исследователи расшифровали обработанный код JavaScript с использованием кодирования XOR и обнаружили, что он используется для выполнения файла JavaScript, размещенного на удаленном сервере. Они также заметили, что злоумышленники используют динамически изменяющиеся URL-адреса, что позволяет изменять URL каждые 10 минут. Код выполняется в браузере посетителей, что приводит к нежелательным перенаправлениям и рекламе для пользователей сайтов.

Этот код выделяется тем, что проверяет, пришел ли посетитель с известного веб-сайта, такого как Google, Facebook, Yahoo или Instagram. Если посетитель не поступил с одного из этих популярных сайтов, вредоносный код не будет выполняться. Злоумышленники использовали этот трюк, чтобы избежать обнаружения.

Владельцы веб-сайтов обычно непосредственно посещают свои сайты, а не проходят через поисковые системы. Вредоносное ПО использует это различие, чтобы попытаться остаться незамеченным.

Перенаправления на домены VexTrio

Обнаруженные исследователями перенаправления приводят на домены VexTrio. Кампанию Sign1 впервые обнаружил исследователь Денис Синегубко во второй половине 2023 года, и Сукури заявила, что злоумышленники использовали до 15 разных доменов с 31 июля 2023 года. Название кампании происходит от параметра sign1, который используется в коде для извлечения и расшифровки доменного имени злоумышленного URL-адреса сторонней организации. В октябре 2023 года злоумышленники начали использовать другую методику обфускации и удалить параметр sign1. Скорее всего, угрозы активно компрометировали веб-сайты с помощью удачных атак грубой силы.

"Это еще один пример того, почему обеспечение защиты панели администратора и использование инструментов мониторинга веб-сайтов должны быть важной задачей для владельцев сайтов", - заключает отчет.

Please note that the original text contained non-text characters (e.g., Cyrillic characters). When converting it to HTML tags, some characters might have been replaced with question marks or removed.