Sign1 Malware

साइन1 नामक एक पूर्व अज्ञात मैलवेयर ऑपरेशन ने छह महीने के भीतर 39,000 से अधिक वेबसाइटों में सफलतापूर्वक घुसपैठ की है, जिसके परिणामस्वरूप आगंतुकों पर अवांछित रीडायरेक्ट और पॉपअप विज्ञापनों की बाढ़ आ गई है। इस खतरे को अंजाम देने वाले मैलवेयर को वर्डप्रेस प्लेटफॉर्म पर पाए जाने वाले अनुकूलित HTML विजेट और प्रामाणिक प्लगइन्स में प्रत्यारोपित करते हैं। वास्तविक वर्डप्रेस फ़ाइलों को बदलने के बजाय, वे अपनी नापाक गतिविधियों को अंजाम देने के लिए असुरक्षित साइन1 स्क्रिप्ट को तैनात करते हैं।

Sign1 Malware अभियान ने लगभग 40,000 साइटों से समझौता किया है

पिछले वर्डप्रेस उल्लंघनों से आकर्षित होकर, शोधकर्ताओं का मानना है कि साइन 1 मैलवेयर घुसपैठ संभवतः एक दोहरी रणनीति को नियोजित करती है जिसमें क्रूर बल के हमले और वेबसाइट सुरक्षा को भंग करने के लिए प्लगइन कमजोरियों का शोषण शामिल है। प्रवेश पाने पर, अपराधी आमतौर पर वर्डप्रेस कस्टम HTML विजेट का उपयोग करते हैं या द्वेषपूर्ण जावास्क्रिप्ट कोड को एम्बेड करने के लिए प्रतीत होता है कि वैध सरल कस्टम सीएसएस और जेएस प्लगइन स्थापित करते हैं।

साइन 1 की जांच से गतिशील यूआरएल उत्पन्न करने के लिए समय-आधारित यादृच्छिकरण के उपयोग का पता चला है, जो पहचान को विफल करने के लिए हर 10 मिनट में बदलता है। डोमेन को हमलों में उपयोग से कुछ समय पहले पंजीकृत किया जाता है, जिससे यह सुनिश्चित होता है कि वे ब्लॉकलिस्ट से अनुपस्थित रहें। ये यूआरएल आगंतुकों के ब्राउज़र के भीतर निष्पादित अतिरिक्त दुर्भावनापूर्ण स्क्रिप्ट प्राप्त करने का काम करते हैं।

प्रारंभ में नेमचीप पर होस्ट किया गया, हमलावरों ने होस्टिंग के लिए HETZNER और IP एड्रेस छुपाने के लिए Cloudflare पर ऑपरेशन स्थानांतरित कर दिए।

साइन1 मैलवेयर पीड़ितों को संदिग्ध और असुरक्षित साइटों पर ले जाता है

साइन1 मैलवेयर XOR एन्कोडिंग वाले कोड को इंजेक्ट करता है और प्रतीत होता है कि यादृच्छिक चर नामों का उपयोग करता है, जिससे सुरक्षा उपकरणों के लिए पता लगाना जटिल हो जाता है।

यह दुर्भावनापूर्ण कोड सक्रियण से पहले विशिष्ट रेफरर्स और कुकीज़ की जांच करता है, मुख्य रूप से Google, Facebook, Yahoo और Instagram जैसे प्रमुख प्लेटफार्मों के आगंतुकों को लक्षित करता है, जबकि अन्य मामलों में निष्क्रिय रहता है। इसके अलावा, कोड विज़िटर के ब्राउज़र पर एक कुकी स्थापित करता है, यह सुनिश्चित करता है कि पॉपअप प्रति विज़िटर केवल एक बार दिखाई देता है, इस प्रकार समझौता किए गए वेबसाइट मालिक द्वारा रिपोर्ट दर्ज करने की संभावना कम हो जाती है।

इसके बाद, स्क्रिप्ट आगंतुकों को नकली कैप्चा जैसी धोखाधड़ी वाली साइटों पर पुनर्निर्देशित करती है, जो ब्राउज़र सूचनाओं को सक्षम करने में उपयोगकर्ताओं को धोखा देने के लिए डिज़ाइन की गई है। फिर ये सूचनाएं ऑपरेटिंग सिस्टम डेस्कटॉप को अवांछित विज्ञापनों से भर देती हैं।

विशेषज्ञों ने चेतावनी दी है कि अभियान के दस्तावेज़ीकृत छह महीनों में साइन1 में उल्लेखनीय विकास हुआ है, मैलवेयर के नए संस्करणों के जारी होने पर संक्रमण चरम पर है।

साइन1 मैलवेयर को रोकना और भी मुश्किल हो गया है

साइन1 मैलवेयर 39,000 से अधिक वेबसाइटों पर पाया गया है, जबकि नवीनतम हमले की लहर, जो जनवरी 2024 से चल रही है, ने 2,500 साइटों का दावा किया है। समय के साथ यह अभियान गुप्त और ब्लॉकों के प्रति अधिक लचीला बन गया है, जो एक चिंताजनक विकास है।

अपनी साइटों को हमले के अभियानों से बचाने के लिए, कंपनियों को एक मजबूत/लंबे व्यवस्थापक पासवर्ड का उपयोग करने और अपने प्लगइन्स को नवीनतम संस्करण में अपडेट करने की सलाह दी जाती है। साथ ही, अनावश्यक ऐड-ऑन को हटाया जाना चाहिए, जो संभावित हमले की सतह के रूप में कार्य कर सकते हैं।