El enfoque de Sign1 incluye el uso de randomización basada en tiempo para generar URLs dinámicas que cambian cada 10 minutos, esquivando efectivamente las listas de bloqueo. Estas URLs recuperan scripts maliciosos adicionales que se ejecutan en el navegador del visitante. Originalmente alojados en Namecheap, los dominios desde entonces han pasado a HETZNER para alojamiento y a Cloudflare para la ofuscación de IP.
El malware emplea codificación XOR y nombres de variables aleatorios para complicar la detección. Se activa solo para visitantes de sitios importantes como Google y Facebook, permaneciendo inactivo de otro modo. Una cookie asegura que el popup se muestre solo una vez por visitante para minimizar los riesgos de detección. Los visitantes son redirigidos a sitios de estafa, a menudo falsos captchas, que engañan a los usuarios para que habiliten notificaciones del navegador para anuncios.
El análisis de Sucuri revela la naturaleza evolutiva de Sign1, con picos de infección que se correlacionan con nuevas versiones del malware. La última ola de ataques ha afectado a 2,500 sitios desde enero de 2024, demostrando un aumento en la sigilosidad y resistencia a las medidas de bloqueo. Se aconseja a los propietarios de sitios reforzar las contraseñas, actualizar los plugins y eliminar los complementos innecesarios para mitigar la vulnerabilidad a tales ataques.
Source: BleepingComputer
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.