Phương thức của Sign1 bao gồm việc sử dụng ngẫu nhiên dựa trên thời gian để tạo ra các URL động thay đổi mỗi 10 phút, hiệu quả né tránh các danh sách chặn. Những URL này truy cập thêm các kịch bản độc hại khác được thực thi trong trình duyệt của người truy cập. Ban đầu được lưu trữ trên Namecheap, các tên miền sau đó đã chuyển sang HETZNER để lưu trữ và Cloudflare để che giấu IP.
Malware sử dụng mã hóa XOR và tên biến ngẫu nhiên để làm phức tạp việc phát hiện. Nó chỉ kích hoạt cho những người truy cập từ các trang lớn như Google và Facebook, còn lại thì ẩn náu. Một cookie đảm bảo rằng popup chỉ hiển thị một lần cho mỗi người truy cập để giảm thiểu rủi ro phát hiện. Người truy cập được chuyển hướng đến các trang lừa đảo, thường là captcha giả, mê hoặc người dùng để kích hoạt thông báo trình duyệt cho quảng cáo.
Phân tích của Sucuri tiết lộ bản chất đang phát triển của Sign1, với các đợt nhiễm trùng tăng lên tương ứng với các phiên bản malware mới. Đợt tấn công mới nhất đã ảnh hưởng đến 2.500 trang kể từ tháng 1 năm 2024, cho thấy sự gia tăng về sự lén lút và khả năng chống lại các biện pháp chặn. Các chủ sở hữu trang web được khuyến nghị củng cố mật khẩu, cập nhật plugin và loại bỏ các phần mở rộng không cần thiết để giảm thiểu khả năng bị tấn công như vậy.
Source: BleepingComputer
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.