Подход Sign1 включает использование временной рандомизации для генерации динамических URL, которые изменяются каждые 10 минут, эффективно уклоняясь от черных списков. Эти URL извлекают дополнительные вредоносные скрипты, выполняющиеся в браузере посетителя. Изначально размещенные на Namecheap, домены затем перешли на хостинг HETZNER и Cloudflare для маскировки IP.
Вредоносное ПО использует кодирование XOR и случайные имена переменных, чтобы усложнить обнаружение. Оно активируется только для посетителей с крупных сайтов, таких как Google и Facebook, оставаясь в противном случае неактивным. Cookie гарантирует, что всплывающее окно отображается только один раз для каждого посетителя, чтобы минимизировать риски обнаружения. Посетителей перенаправляют на мошеннические сайты, часто поддельные капчи, которые заманивают пользователей включать уведомления браузера для рекламы.
Анализ Sucuri показывает эволюционирующую природу Sign1, с всплесками инфекции, соответствующими новым версиям вредоносного ПО. Последняя волна атак затронула 2 500 сайтов с января 2024 года, демонстрируя увеличение скрытности и сопротивления блокировочным мерам. Владельцам сайтов рекомендуется усилить пароли, обновить плагины и удалить ненужные дополнения, чтобы снизить уязвимость к таким атакам.
Source: BleepingComputer
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.