Sucuriはこのほど、「Sign1 Malware: Analysis, Campaign History & Indicators of Compromise」において、WordPressサイトを侵害し悪意のあるスクリプトを挿入するサイバー攻撃のキャンペーン「Sign1」を発見したとして、その詳細を伝えた。

このキャンペーンでは、ブルートフォース攻撃によりWordPressサイトへ侵入し、カスタムCSSやJSを挿入する正規のプラグインをインストールして悪意のあるスクリプトを埋め込むという。

  • Sign1 Malware: Analysis、Campaign History & Indicators of Compromise

    Sign1 Malware: Analysis, Campaign History & Indicators of Compromise

悪意のあるスクリプトの詳細

Sucuriによると、攻撃者によって埋め込まれる悪意のあるスクリプトには、10分ごとにURLを切り替えてアクセスする機能があるという。URLは攻撃者が管理しているとみられるスクリプトへのリンクとなっており、このスクリプトを実行するとポップアップ広告が表示される。

また、Google、Facebook、Yahoo、Instagramなどの主要なWebサイトからの訪問者のみにポップアップを表示する機能があり、管理者など直接サイトにアクセスするユーザーには表示しないとされる。

  • 攻撃者によって挿入された悪意のあるスクリプトの例 - 引用:Sucuri

    攻撃者によって挿入された悪意のあるスクリプトの例 引用:Sucuri

影響と対策

Sucuriの調査によると、過去6カ月間で、このキャンペーンにより3万9,000以上のWordPressサイトが侵害されたという。多くの場合、正規のWordPressプラグイン「Simple Custom CSS and JS – WordPress plugin | WordPress.org」がインストールされ、このプラグインを介して悪意のあるコードがWebサイトに挿入される。この手法を用いると、サーバ上のコンテンツを変更せずに表示されるコンテンツのみを侵害できるため、サイト管理者に気付かれ難くなるとされる。

このような攻撃からWebサイトを保護するため、Sucuriは「Website Malware Scanning & Detection | Sucuri」を使用してWebサイトをスキャンし、悪意のあるアクティビティを検出して対策することを推奨している。