L’approccio di Sign1 include l’uso di randomizzazione basata sul tempo per generare URL dinamici che cambiano ogni 10 minuti, eludendo efficacemente le liste di blocco. Questi URL recuperano ulteriori script malevoli che vengono eseguiti nel browser del visitatore. Inizialmente ospitati su Namecheap, i domini sono successivamente passati a HETZNER per l’hosting e a Cloudflare per l’oscuramento degli IP.
Il malware impiega la codifica XOR e nomi di variabili casuali per complicare il rilevamento. Si attiva solo per i visitatori provenienti da siti importanti come Google e Facebook, rimanendo altrimenti dormiente. Un cookie assicura che il popup venga visualizzato solo una volta per visitatore per minimizzare i rischi di rilevamento. I visitatori vengono reindirizzati a siti truffa, spesso finti captcha, che attirano gli utenti ad abilitare le notifiche del browser per le pubblicità.
L’analisi di Sucuri rivela la natura in evoluzione di Sign1, con picchi di infezione correlati a nuove versioni del malware. L’ultima ondata di attacchi ha colpito 2.500 siti da gennaio 2024, dimostrando un aumento nella furtività e resistenza alle misure di blocco. Ai proprietari dei siti viene consigliato di rafforzare le password, aggiornare i plugin e rimuovere gli add-on non necessari per mitigare la vulnerabilità a tali attacchi.
Source: BleepingComputer
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.