Sign1 Malware

Sign1 పేరుతో మునుపు తెలియని మాల్వేర్ ఆపరేషన్ ఆరు నెలల్లో 39,000 కంటే ఎక్కువ వెబ్‌సైట్‌లలోకి విజయవంతంగా చొరబడింది, దీని ఫలితంగా సందర్శకులు అవాంఛిత దారిమార్పులు మరియు పాప్‌అప్ ప్రకటనలతో పేల్చివేయబడ్డారు. ఈ ముప్పు యొక్క నేరస్థులు WordPress ప్లాట్‌ఫారమ్‌లలో కనిపించే HTML విడ్జెట్‌లు మరియు ప్రామాణికమైన ప్లగిన్‌లలోకి మాల్వేర్‌ను అమర్చారు. నిజమైన WordPress ఫైల్‌లను మార్చడానికి బదులుగా, వారు తమ దుర్మార్గపు కార్యకలాపాలను అమలు చేయడానికి అసురక్షిత Sign1 స్క్రిప్ట్‌లను అమలు చేస్తారు.

Sign1 మాల్వేర్ ప్రచారం దాదాపు 40,000 సైట్‌లను రాజీ చేసింది

గత WordPress ఉల్లంఘనల నుండి గీయడం, పరిశోధకులు సైన్1 మాల్వేర్ చొరబాటు బ్రూట్ ఫోర్స్ దాడులు మరియు వెబ్‌సైట్ రక్షణను ఉల్లంఘించడానికి ప్లగిన్ దుర్బలత్వాల దోపిడీకి సంబంధించిన ద్వంద్వ వ్యూహాన్ని ఉపయోగిస్తుందని నమ్ముతారు. ప్రవేశం పొందిన తర్వాత, నేరస్థులు సాధారణంగా WordPress అనుకూల HTML విడ్జెట్‌లను ఉపయోగించుకుంటారు లేదా హానికరమైన జావాస్క్రిప్ట్ కోడ్‌ను పొందుపరచడానికి చట్టబద్ధమైన సాధారణ కస్టమ్ CSS మరియు JS ప్లగిన్‌లను ఇన్‌స్టాల్ చేస్తారు.

Sign1 యొక్క పరీక్ష డైనమిక్ URLలను రూపొందించడానికి సమయ-ఆధారిత రాండమైజేషన్ యొక్క వినియోగాన్ని ఆవిష్కరించింది, గుర్తింపును అడ్డుకోవడానికి ప్రతి 10 నిమిషాలకు మారుస్తుంది. డొమైన్‌లు దాడులలో వినియోగానికి కొద్దిసేపటి ముందు నమోదు చేయబడతాయి, అవి బ్లాక్‌లిస్ట్‌లకు దూరంగా ఉన్నాయని నిర్ధారిస్తుంది. ఈ URLలు సందర్శకుల బ్రౌజర్‌లలో అమలు చేయబడిన అదనపు హానికరమైన స్క్రిప్ట్‌లను సేకరించేందుకు ఉపయోగపడతాయి.

ప్రారంభంలో నేమ్‌చీప్‌లో హోస్ట్ చేయబడింది, దుండగులు హోస్టింగ్ కోసం HETZNERకి మరియు IP చిరునామా దాచడం కోసం క్లౌడ్‌ఫ్లేర్‌కు కార్యకలాపాలను మార్చారు.

Sign1 మాల్వేర్ బాధితులను సందేహాస్పదమైన మరియు అసురక్షిత సైట్‌లకు తీసుకువెళుతుంది

Sign1 మాల్వేర్ XOR ఎన్‌కోడింగ్‌ని కలిగి ఉన్న కోడ్‌ను ఇంజెక్ట్ చేస్తుంది మరియు యాదృచ్ఛికంగా కనిపించే వేరియబుల్ పేర్లను ఉపయోగిస్తుంది, తద్వారా భద్రతా సాధనాల గుర్తింపును క్లిష్టతరం చేస్తుంది.

ఈ దుర్మార్గపు కోడ్ యాక్టివేషన్‌కు ముందు నిర్దిష్ట రెఫరర్లు మరియు కుక్కీల కోసం తనిఖీలను నిర్వహిస్తుంది, ప్రధానంగా Google, Facebook, Yahoo మరియు Instagram వంటి ప్రముఖ ప్లాట్‌ఫారమ్‌ల నుండి సందర్శకులను లక్ష్యంగా చేసుకుంటుంది, ఇతర సందర్భాల్లో నిద్రాణంగా ఉంటుంది. అంతేకాకుండా, కోడ్ సందర్శకుల బ్రౌజర్‌లో కుక్కీని ఏర్పాటు చేస్తుంది, పాప్‌అప్ ప్రతి సందర్శకుడికి ఒకసారి మాత్రమే కనిపించేలా చేస్తుంది, తద్వారా రాజీపడిన వెబ్‌సైట్ యజమాని ద్వారా నివేదికలు దాఖలు చేయబడే అవకాశం తగ్గుతుంది.

తదనంతరం, స్క్రిప్ట్ సందర్శకులను బ్రౌజర్ నోటిఫికేషన్‌లను ఎనేబుల్ చేయడంలో వినియోగదారులను మోసగించడానికి రూపొందించబడిన నకిలీ క్యాప్చాల వంటి మోసపూరిత సైట్‌లకు దారి మళ్లిస్తుంది. ఈ నోటిఫికేషన్‌లు ఆపరేటింగ్ సిస్టమ్ డెస్క్‌టాప్‌ను అవాంఛిత ప్రకటనలతో ముంచెత్తుతాయి.

డాక్యుమెంట్ చేయబడిన ఆరు నెలల ప్రచారంలో సైన్1 గుర్తించదగిన పరిణామానికి గురైందని నిపుణులు హెచ్చరిస్తున్నారు, మాల్వేర్ యొక్క కొత్త వెర్షన్‌ల విడుదలపై ఇన్‌ఫెక్షన్లు గరిష్ట స్థాయికి చేరుకున్నాయి.

Sign1 మాల్వేర్ ఆపడానికి మరింత కష్టంగా మారింది

సైన్1 మాల్వేర్ 39,000 వెబ్‌సైట్‌లలో కనుగొనబడింది, అయితే జనవరి 2024 నుండి కొనసాగుతున్న తాజా దాడి వేవ్ 2,500 సైట్‌లను క్లెయిమ్ చేసింది. ప్రచారం కాలక్రమేణా రహస్యంగా మరియు బ్లాక్‌లకు మరింత స్థితిస్థాపకంగా మారింది, ఇది ఆందోళనకరమైన పరిణామం.

దాడి ప్రచారాల నుండి తమ సైట్‌లను రక్షించుకోవడానికి, కంపెనీలు బలమైన/పొడవైన అడ్మినిస్ట్రేటర్ పాస్‌వర్డ్‌ను ఉపయోగించాలని మరియు వారి ప్లగిన్‌లను తాజా వెర్షన్‌కు అప్‌డేట్ చేయాలని సూచించబడ్డాయి. అలాగే, అనవసరమైన యాడ్-ఆన్‌లను తీసివేయాలి, ఇది సంభావ్య దాడి ఉపరితలంగా పని చేస్తుంది.