Хакеры снова распространяют вредоносное программное обеспечение SocGholish, выдавая его за обновления для браузеров. По словам специалистов из Intel 471, злоумышленники используют скомпрометированные сайты, чтобы предложить пользователям скачать ZIP-файлы с зараженными скриптами. Этот способ позволяет им обойти защиту и заразить доверчивых людей.
SocGholish используется для получения доступа к системам жертв. Вредоносные скрипты встраиваются в нормальные сайты, которые потом появляются в результатах поиска. Когда пользователь заходит на такой сайт, ему показывается фальшивое сообщение о необходимости обновления браузера. После скачивания и открытия ZIP-файла запускается вредоносный код, который начинает заражение.
Анализ показывает, что SocGholish адаптирует атаку под устройство жертвы. Скрипты анализируют операционную систему и браузер, чтобы решить, показывать ли фальшивое сообщение. Это помогает злоумышленникам избежать обнаружения на неподходящих устройствах.
Главная цель атакующих — установить дополнительные вредоносные программы на систему. ZIP-файлы, выдаваемые за обновления, часто содержат JavaScript-файлы, которые загружают RAT-трояны, инструменты для удаленного управления и даже программы-вымогатели. Среди инструментов атаки часто используется Cobalt Strike, который помогает злоумышленникам перемещаться по сети и получать больше прав.
Один из ключевых методов распространения SocGholish — Domain Shadowing. Атакующие взламывают настоящие домены и создают на них вредоносные поддомены для распространения вирусов. Они также используют промежуточные серверы для скрытой передачи вредоносных файлов, чтобы усложнить обнаружение атаки.
Исследования показывают, что кампании SocGholish могут быть связаны с группировкой Evil Corp, которая известна распространением банковских троянов и программ-вымогателей. Эта группировка использует SocGholish для взлома систем и дальнейшей выгоды.
За одну неделю в конце 2024 года было зарегистрировано более 1,5 миллиона взаимодействий пользователей с вредоносными ресурсами, связанными с SocGholish. Это показывает масштаб угрозы и эффективность атак с использованием этого инструмента.
Чтобы защититься от таких атак, эксперты советуют быть осторожными. Важно проверять обновления ПО, использовать современные решения для обнаружения угроз и проверять веб-ресурсы на возможные уязвимости. Организациям рекомендуется внедрять системы мониторинга и обнаружения аномалий, чтобы своевременно выявлять подозрительную активность.
