Sign1 மால்வேர்

Sign1 என பெயரிடப்பட்ட முன்னர் அறியப்படாத தீம்பொருள் செயல்பாடு ஆறு மாதங்களுக்குள் 39,000 க்கும் மேற்பட்ட வலைத்தளங்களில் வெற்றிகரமாக ஊடுருவியுள்ளது, இதன் விளைவாக பார்வையாளர்கள் தேவையற்ற வழிமாற்றுகள் மற்றும் பாப்அப் விளம்பரங்களால் தாக்கப்பட்டனர். இந்த அச்சுறுத்தலை ஏற்படுத்துபவர்கள், வேர்ட்பிரஸ் இயங்குதளங்களில் காணப்படும் HTML விட்ஜெட்டுகள் மற்றும் உண்மையான செருகுநிரல்களில் தீம்பொருளைப் பொருத்துகிறார்கள். உண்மையான வேர்ட்பிரஸ் கோப்புகளை மாற்றுவதற்குப் பதிலாக, அவர்கள் பாதுகாப்பற்ற Sign1 ஸ்கிரிப்ட்களை தங்கள் மோசமான செயல்பாடுகளைச் செயல்படுத்த பயன்படுத்துகின்றனர்.

Sign1 மால்வேர் பிரச்சாரம் கிட்டத்தட்ட 40,000 தளங்களை சமரசம் செய்துள்ளது

கடந்த வேர்ட்பிரஸ் மீறல்களிலிருந்து, சைன்1 மால்வேர் ஊடுருவல், முரட்டுத்தனமான தாக்குதல்கள் மற்றும் இணையத்தள பாதுகாப்பை மீறுவதற்கு செருகுநிரல் பாதிப்புகளை சுரண்டுவது போன்ற இரட்டை உத்தியைப் பயன்படுத்துகிறது என்று ஆராய்ச்சியாளர்கள் நம்புகின்றனர். நுழைந்தவுடன், குற்றவாளிகள் பொதுவாக வேர்ட்பிரஸ் தனிப்பயன் HTML விட்ஜெட்களைப் பயன்படுத்துகின்றனர் அல்லது தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் குறியீட்டை உட்பொதிக்க சட்டபூர்வமான எளிய தனிப்பயன் CSS மற்றும் JS செருகுநிரலை நிறுவுகின்றனர்.

Sign1 இன் ஆய்வு, டைனமிக் URLகளை உருவாக்குவதற்கான நேர அடிப்படையிலான சீரற்றமயமாக்கலின் பயன்பாட்டை வெளிப்படுத்தியுள்ளது, கண்டறிதலைத் தடுக்க ஒவ்வொரு 10 நிமிடங்களுக்கும் மாற்றுகிறது. டொமைன்கள் தாக்குதல்களில் பயன்படுத்தப்படுவதற்கு சற்று முன் பதிவு செய்யப்படுகின்றன, அவை தடுப்புப்பட்டியலில் இல்லாமல் இருப்பதை உறுதி செய்கிறது. இந்த URLகள் பார்வையாளர்களின் உலாவிகளுக்குள் செயல்படுத்தப்படும் கூடுதல் தீங்கிழைக்கும் ஸ்கிரிப்ட்களை வாங்க உதவுகின்றன.

ஆரம்பத்தில் நேம்சீப்பில் ஹோஸ்ட் செய்யப்பட்டது, தாக்குதல் நடத்தியவர்கள் ஹோஸ்டிங் செய்வதற்காக HETZNER க்கும், IP முகவரியை மறைப்பதற்கு Cloudflare க்கும் மாற்றியமைத்தனர்.

Sign1 மால்வேர் பாதிக்கப்பட்டவர்களை சந்தேகத்திற்குரிய மற்றும் பாதுகாப்பற்ற தளங்களுக்கு அழைத்துச் செல்கிறது

Sign1 மால்வேர் XOR குறியாக்கத்தைக் கொண்ட குறியீட்டை உட்செலுத்துகிறது மற்றும் சீரற்ற மாறி பெயர்களைப் பயன்படுத்துகிறது, இதன் மூலம் பாதுகாப்புக் கருவிகளைக் கண்டறிவதை சிக்கலாக்குகிறது.

இந்த தீங்கிழைக்கும் குறியீடு செயல்படுத்தப்படுவதற்கு முன் குறிப்பிட்ட பரிந்துரையாளர்கள் மற்றும் குக்கீகளுக்கான சோதனைகளை நடத்துகிறது, முதன்மையாக Google, Facebook, Yahoo மற்றும் Instagram போன்ற முக்கிய தளங்களில் இருந்து பார்வையாளர்களை குறிவைக்கிறது, மற்ற நிகழ்வுகளில் செயலற்ற நிலையில் உள்ளது. மேலும், குறியீடானது பார்வையாளரின் உலாவியில் ஒரு குக்கீயை நிறுவுகிறது, ஒரு பார்வையாளருக்கு ஒரு முறை மட்டுமே பாப்அப் தோன்றுவதை உறுதிசெய்கிறது, இதனால் சமரசம் செய்யப்பட்ட வலைத்தள உரிமையாளரால் அறிக்கைகள் தாக்கல் செய்யப்படுவதற்கான வாய்ப்பைக் குறைக்கிறது.

பின்னர், ஸ்கிரிப்ட் பார்வையாளர்களை உலாவி அறிவிப்புகளை இயக்கும் வகையில் பயனர்களை ஏமாற்றுவதற்காக வடிவமைக்கப்பட்ட போலி கேப்ட்சாக்கள் போன்ற மோசடியான தளங்களுக்குத் திருப்பிவிடும். இந்த அறிவிப்புகள் பின்னர் தேவையற்ற விளம்பரங்களுடன் இயங்குதள டெஸ்க்டாப்பை மூழ்கடிக்கும்.

Sign1 பிரச்சாரத்தின் ஆவணப்படுத்தப்பட்ட ஆறு மாதங்களில் குறிப்பிடத்தக்க பரிணாமத்தை அடைந்துள்ளது என்று நிபுணர்கள் எச்சரிக்கின்றனர், தீம்பொருளின் புதிய பதிப்புகள் வெளியானவுடன் நோய்த்தொற்றுகள் உச்சத்தை அடைந்தன.

Sign1 மால்வேரை நிறுத்துவது மிகவும் கடினமாகிவிட்டது

சைன்1 மால்வேர் 39,000 இணையதளங்களில் கண்டறியப்பட்டுள்ளது, அதே நேரத்தில் ஜனவரி 2024 முதல் நடந்து வரும் சமீபத்திய தாக்குதல் அலை 2,500 தளங்களைக் கோரியது. பிரச்சாரம் காலப்போக்கில் திருட்டுத்தனமாகவும், தொகுதிகளுக்கு மீள்தன்மையுடனும் மாறியது, இது ஒரு கவலைக்குரிய வளர்ச்சியாகும்.

தாக்குதல் பிரச்சாரங்களுக்கு எதிராக தங்கள் தளங்களைப் பாதுகாக்க, நிறுவனங்கள் வலுவான/நீண்ட நிர்வாகி கடவுச்சொல்லைப் பயன்படுத்தவும், அவற்றின் செருகுநிரல்களை சமீபத்திய பதிப்பிற்குப் புதுப்பிக்கவும் அறிவுறுத்தப்படுகின்றன. மேலும், தேவையற்ற துணை நிரல்களை அகற்ற வேண்டும், இது சாத்தியமான தாக்குதல் மேற்பரப்பாக செயல்படும்.