Sign1 ਮਾਲਵੇਅਰ
ਸਾਈਨ 1 ਨਾਮ ਦੇ ਇੱਕ ਪਹਿਲਾਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਓਪਰੇਸ਼ਨ ਨੇ ਛੇ ਮਹੀਨਿਆਂ ਦੇ ਅੰਦਰ 39,000 ਤੋਂ ਵੱਧ ਵੈਬਸਾਈਟਾਂ ਵਿੱਚ ਸਫਲਤਾਪੂਰਵਕ ਘੁਸਪੈਠ ਕੀਤੀ ਹੈ, ਨਤੀਜੇ ਵਜੋਂ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਅਣਚਾਹੇ ਰੀਡਾਇਰੈਕਟਸ ਅਤੇ ਪੌਪਅੱਪ ਇਸ਼ਤਿਹਾਰਾਂ ਨਾਲ ਬੰਬਾਰੀ ਕੀਤੀ ਗਈ ਹੈ। ਇਸ ਧਮਕੀ ਦੇ ਦੋਸ਼ੀ ਵਰਡਪਰੈਸ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਪਾਏ ਜਾਣ ਵਾਲੇ HTML ਵਿਜੇਟਸ ਅਤੇ ਪ੍ਰਮਾਣਿਕ ਪਲੱਗਇਨਾਂ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨੂੰ ਇੰਪਲਾਂਟ ਕਰਦੇ ਹਨ। ਅਸਲ ਵਰਡਪਰੈਸ ਫਾਈਲਾਂ ਨੂੰ ਬਦਲਣ ਦੀ ਬਜਾਏ, ਉਹ ਆਪਣੀਆਂ ਨਾਪਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਅਸੁਰੱਖਿਅਤ ਸਾਈਨ 1 ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
Sign1 ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਨੇ ਲਗਭਗ 40,000 ਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ
ਪਿਛਲੀਆਂ ਵਰਡਪਰੈਸ ਉਲੰਘਣਾਵਾਂ ਤੋਂ ਡਰਾਇੰਗ, ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਸਾਈਨ 1 ਮਾਲਵੇਅਰ ਘੁਸਪੈਠ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਦੋਹਰੀ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਬੇਰਹਿਮੀ ਨਾਲ ਬਲ ਦੇ ਹਮਲੇ ਅਤੇ ਵੈਬਸਾਈਟ ਬਚਾਅ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਪਲੱਗਇਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਸ਼ਾਮਲ ਹੈ। ਪ੍ਰਵੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ, ਅਪਰਾਧੀ ਆਮ ਤੌਰ 'ਤੇ ਵਰਡਪਰੈਸ ਕਸਟਮ HTML ਵਿਜੇਟਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਜਾਂ ਜਾਇਜ਼ ਜਾਇਜ਼ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਕੋਡ ਨੂੰ ਏਮਬੇਡ ਕਰਨ ਲਈ ਜਾਇਜ਼ ਜਾਇਜ਼ ਸਧਾਰਨ ਕਸਟਮ CSS ਅਤੇ JS ਪਲੱਗਇਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਹਨ।
ਸਾਈਨ 1 ਦੀ ਪ੍ਰੀਖਿਆ ਨੇ ਡਾਇਨਾਮਿਕ URL ਬਣਾਉਣ ਲਈ ਸਮਾਂ-ਅਧਾਰਿਤ ਰੈਂਡਮਾਈਜ਼ੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਖੋਜ ਨੂੰ ਅਸਫਲ ਕਰਨ ਲਈ ਹਰ 10 ਮਿੰਟਾਂ ਵਿੱਚ ਬਦਲਣਾ. ਡੋਮੇਨ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੋਂ ਤੋਂ ਪਹਿਲਾਂ ਰਜਿਸਟਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਉਹ ਬਲਾਕਲਿਸਟਾਂ ਤੋਂ ਗੈਰਹਾਜ਼ਰ ਰਹਿਣ। ਇਹ URL ਵਿਜ਼ਟਰਾਂ ਦੇ ਬ੍ਰਾਉਜ਼ਰਾਂ ਦੇ ਅੰਦਰ ਚਲਾਈਆਂ ਗਈਆਂ ਵਾਧੂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕੰਮ ਕਰਦੇ ਹਨ।
ਸ਼ੁਰੂ ਵਿੱਚ ਨੇਮਚੇਪ 'ਤੇ ਮੇਜ਼ਬਾਨੀ ਕੀਤੀ ਗਈ, ਹਮਲਾਵਰਾਂ ਨੇ ਆਪ੍ਰੇਸ਼ਨਾਂ ਨੂੰ ਹੋਸਟਿੰਗ ਲਈ HETZNER ਅਤੇ IP ਐਡਰੈੱਸ ਛੁਪਾਉਣ ਲਈ Cloudflare ਵਿੱਚ ਮਾਈਗਰੇਟ ਕੀਤਾ।
Sign1 ਮਾਲਵੇਅਰ ਪੀੜਤਾਂ ਨੂੰ ਸ਼ੱਕੀ ਅਤੇ ਅਸੁਰੱਖਿਅਤ ਸਾਈਟਾਂ 'ਤੇ ਲੈ ਜਾਂਦਾ ਹੈ
Sign1 ਮਾਲਵੇਅਰ XOR ਏਨਕੋਡਿੰਗ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲੇ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਬੇਤਰਤੀਬ ਵੇਰੀਏਬਲ ਨਾਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਲਈ ਖੋਜ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।
ਇਹ ਖਤਰਨਾਕ ਕੋਡ ਐਕਟੀਵੇਸ਼ਨ ਤੋਂ ਪਹਿਲਾਂ ਖਾਸ ਰੈਫਰਰਾਂ ਅਤੇ ਕੂਕੀਜ਼ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਗੂਗਲ, ਫੇਸਬੁੱਕ, ਯਾਹੂ ਅਤੇ ਇੰਸਟਾਗ੍ਰਾਮ ਵਰਗੇ ਪ੍ਰਮੁੱਖ ਪਲੇਟਫਾਰਮਾਂ ਤੋਂ ਸੈਲਾਨੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜੀਆਂ ਸਥਿਤੀਆਂ ਵਿੱਚ ਸੁਸਤ ਪਿਆ ਹੁੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕੋਡ ਵਿਜ਼ਟਰ ਦੇ ਬ੍ਰਾਊਜ਼ਰ 'ਤੇ ਇੱਕ ਕੂਕੀ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਪੌਪਅੱਪ ਪ੍ਰਤੀ ਵਿਜ਼ਟਰ ਸਿਰਫ਼ ਇੱਕ ਵਾਰ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵਾਲੇ ਵੈੱਬਸਾਈਟ ਮਾਲਕ ਦੁਆਰਾ ਰਿਪੋਰਟਾਂ ਦਾਇਰ ਕੀਤੇ ਜਾਣ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਜਾਂਦੀ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, ਸਕ੍ਰਿਪਟ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਾਈਟਾਂ, ਜਿਵੇਂ ਕਿ ਨਕਲੀ ਕੈਪਚਾਂ, ਨੂੰ ਬ੍ਰਾਊਜ਼ਰ ਸੂਚਨਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੀ ਹੈ। ਇਹ ਸੂਚਨਾਵਾਂ ਫਿਰ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਡੈਸਕਟਾਪ ਨੂੰ ਅਣਚਾਹੇ ਇਸ਼ਤਿਹਾਰਾਂ ਨਾਲ ਭਰ ਦਿੰਦੀਆਂ ਹਨ।
ਮਾਹਰ ਸਾਵਧਾਨ ਕਰਦੇ ਹਨ ਕਿ ਸਾਈਨ 1 ਨੇ ਮੁਹਿੰਮ ਦੇ ਦਸਤਾਵੇਜ਼ੀ ਛੇ ਮਹੀਨਿਆਂ ਦੌਰਾਨ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਕੀਤਾ ਹੈ, ਮਾਲਵੇਅਰ ਦੇ ਨਵੇਂ ਸੰਸਕਰਣਾਂ ਦੇ ਜਾਰੀ ਹੋਣ 'ਤੇ ਲਾਗਾਂ ਦੇ ਸਿਖਰ 'ਤੇ ਹਨ।
Sign1 ਮਾਲਵੇਅਰ ਨੂੰ ਰੋਕਣਾ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਹੋ ਗਿਆ ਹੈ
ਸਾਈਨ 1 ਮਾਲਵੇਅਰ ਨੂੰ 39,000 ਤੋਂ ਵੱਧ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਖੋਜਿਆ ਗਿਆ ਹੈ, ਜਦੋਂ ਕਿ ਤਾਜ਼ਾ ਹਮਲੇ ਦੀ ਲਹਿਰ, ਜੋ ਜਨਵਰੀ 2024 ਤੋਂ ਚੱਲ ਰਹੀ ਹੈ, ਨੇ 2,500 ਸਾਈਟਾਂ 'ਤੇ ਦਾਅਵਾ ਕੀਤਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਸਮੇਂ ਦੇ ਨਾਲ ਬਲਾਕਾਂ ਲਈ ਚੁਸਤ ਅਤੇ ਵਧੇਰੇ ਲਚਕੀਲੇ ਬਣਨ ਲਈ ਵਿਕਸਤ ਹੋਈ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਚਿੰਤਾਜਨਕ ਵਿਕਾਸ ਹੈ।
ਆਪਣੀਆਂ ਸਾਈਟਾਂ ਨੂੰ ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਤੋਂ ਬਚਾਉਣ ਲਈ, ਕੰਪਨੀਆਂ ਨੂੰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਉਹ ਇੱਕ ਮਜ਼ਬੂਤ/ਲੰਬੇ ਪ੍ਰਸ਼ਾਸਕ ਪਾਸਵਰਡ ਦੀ ਵਰਤੋਂ ਕਰਨ ਅਤੇ ਆਪਣੇ ਪਲੱਗਇਨ ਨੂੰ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਵਿੱਚ ਅੱਪਡੇਟ ਕਰਨ। ਨਾਲ ਹੀ, ਬੇਲੋੜੇ ਐਡ-ਆਨ ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਜੋ ਸੰਭਾਵੀ ਹਮਲੇ ਵਾਲੀ ਸਤਹ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦੇ ਹਨ।
