Sign1 Malware
Sign1 పేరుతో మునుపు తెలియని మాల్వేర్ ఆపరేషన్ ఆరు నెలల్లో 39,000 కంటే ఎక్కువ వెబ్సైట్లలోకి విజయవంతంగా చొరబడింది, దీని ఫలితంగా సందర్శకులు అవాంఛిత దారిమార్పులు మరియు పాప్అప్ ప్రకటనలతో పేల్చివేయబడ్డారు. ఈ ముప్పు యొక్క నేరస్థులు WordPress ప్లాట్ఫారమ్లలో కనిపించే HTML విడ్జెట్లు మరియు ప్రామాణికమైన ప్లగిన్లలోకి మాల్వేర్ను అమర్చారు. నిజమైన WordPress ఫైల్లను మార్చడానికి బదులుగా, వారు తమ దుర్మార్గపు కార్యకలాపాలను అమలు చేయడానికి అసురక్షిత Sign1 స్క్రిప్ట్లను అమలు చేస్తారు.
విషయ సూచిక
Sign1 మాల్వేర్ ప్రచారం దాదాపు 40,000 సైట్లను రాజీ చేసింది
గత WordPress ఉల్లంఘనల నుండి గీయడం, పరిశోధకులు సైన్1 మాల్వేర్ చొరబాటు బ్రూట్ ఫోర్స్ దాడులు మరియు వెబ్సైట్ రక్షణను ఉల్లంఘించడానికి ప్లగిన్ దుర్బలత్వాల దోపిడీకి సంబంధించిన ద్వంద్వ వ్యూహాన్ని ఉపయోగిస్తుందని నమ్ముతారు. ప్రవేశం పొందిన తర్వాత, నేరస్థులు సాధారణంగా WordPress అనుకూల HTML విడ్జెట్లను ఉపయోగించుకుంటారు లేదా హానికరమైన జావాస్క్రిప్ట్ కోడ్ను పొందుపరచడానికి చట్టబద్ధమైన సాధారణ కస్టమ్ CSS మరియు JS ప్లగిన్లను ఇన్స్టాల్ చేస్తారు.
Sign1 యొక్క పరీక్ష డైనమిక్ URLలను రూపొందించడానికి సమయ-ఆధారిత రాండమైజేషన్ యొక్క వినియోగాన్ని ఆవిష్కరించింది, గుర్తింపును అడ్డుకోవడానికి ప్రతి 10 నిమిషాలకు మారుస్తుంది. డొమైన్లు దాడులలో వినియోగానికి కొద్దిసేపటి ముందు నమోదు చేయబడతాయి, అవి బ్లాక్లిస్ట్లకు దూరంగా ఉన్నాయని నిర్ధారిస్తుంది. ఈ URLలు సందర్శకుల బ్రౌజర్లలో అమలు చేయబడిన అదనపు హానికరమైన స్క్రిప్ట్లను సేకరించేందుకు ఉపయోగపడతాయి.
ప్రారంభంలో నేమ్చీప్లో హోస్ట్ చేయబడింది, దుండగులు హోస్టింగ్ కోసం HETZNERకి మరియు IP చిరునామా దాచడం కోసం క్లౌడ్ఫ్లేర్కు కార్యకలాపాలను మార్చారు.
Sign1 మాల్వేర్ బాధితులను సందేహాస్పదమైన మరియు అసురక్షిత సైట్లకు తీసుకువెళుతుంది
Sign1 మాల్వేర్ XOR ఎన్కోడింగ్ని కలిగి ఉన్న కోడ్ను ఇంజెక్ట్ చేస్తుంది మరియు యాదృచ్ఛికంగా కనిపించే వేరియబుల్ పేర్లను ఉపయోగిస్తుంది, తద్వారా భద్రతా సాధనాల గుర్తింపును క్లిష్టతరం చేస్తుంది.
ఈ దుర్మార్గపు కోడ్ యాక్టివేషన్కు ముందు నిర్దిష్ట రెఫరర్లు మరియు కుక్కీల కోసం తనిఖీలను నిర్వహిస్తుంది, ప్రధానంగా Google, Facebook, Yahoo మరియు Instagram వంటి ప్రముఖ ప్లాట్ఫారమ్ల నుండి సందర్శకులను లక్ష్యంగా చేసుకుంటుంది, ఇతర సందర్భాల్లో నిద్రాణంగా ఉంటుంది. అంతేకాకుండా, కోడ్ సందర్శకుల బ్రౌజర్లో కుక్కీని ఏర్పాటు చేస్తుంది, పాప్అప్ ప్రతి సందర్శకుడికి ఒకసారి మాత్రమే కనిపించేలా చేస్తుంది, తద్వారా రాజీపడిన వెబ్సైట్ యజమాని ద్వారా నివేదికలు దాఖలు చేయబడే అవకాశం తగ్గుతుంది.
తదనంతరం, స్క్రిప్ట్ సందర్శకులను బ్రౌజర్ నోటిఫికేషన్లను ఎనేబుల్ చేయడంలో వినియోగదారులను మోసగించడానికి రూపొందించబడిన నకిలీ క్యాప్చాల వంటి మోసపూరిత సైట్లకు దారి మళ్లిస్తుంది. ఈ నోటిఫికేషన్లు ఆపరేటింగ్ సిస్టమ్ డెస్క్టాప్ను అవాంఛిత ప్రకటనలతో ముంచెత్తుతాయి.
డాక్యుమెంట్ చేయబడిన ఆరు నెలల ప్రచారంలో సైన్1 గుర్తించదగిన పరిణామానికి గురైందని నిపుణులు హెచ్చరిస్తున్నారు, మాల్వేర్ యొక్క కొత్త వెర్షన్ల విడుదలపై ఇన్ఫెక్షన్లు గరిష్ట స్థాయికి చేరుకున్నాయి.
Sign1 మాల్వేర్ ఆపడానికి మరింత కష్టంగా మారింది
సైన్1 మాల్వేర్ 39,000 వెబ్సైట్లలో కనుగొనబడింది, అయితే జనవరి 2024 నుండి కొనసాగుతున్న తాజా దాడి వేవ్ 2,500 సైట్లను క్లెయిమ్ చేసింది. ప్రచారం కాలక్రమేణా రహస్యంగా మరియు బ్లాక్లకు మరింత స్థితిస్థాపకంగా మారింది, ఇది ఆందోళనకరమైన పరిణామం.
దాడి ప్రచారాల నుండి తమ సైట్లను రక్షించుకోవడానికి, కంపెనీలు బలమైన/పొడవైన అడ్మినిస్ట్రేటర్ పాస్వర్డ్ను ఉపయోగించాలని మరియు వారి ప్లగిన్లను తాజా వెర్షన్కు అప్డేట్ చేయాలని సూచించబడ్డాయి. అలాగే, అనవసరమైన యాడ్-ఆన్లను తీసివేయాలి, ఇది సంభావ్య దాడి ఉపరితలంగా పని చేస్తుంది.