SocGholish ist seit 2018 aktiv und nutzt stark verschleierte JavaScript-Loader, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Die Malware leitet den Webverkehr über Keitaro um, ein kommerzielles Traffic-Distribution-System, das Sicherheitsforscher herausfiltert und ahnungslose Opfer auf infizierte Updates weiterleitet. Nach der Ausführung installiert die Malware Python-basierte Hintertüren, die RansomHub-Affiliierten ersten Zugang zu den Systemen der Opfer verschaffen, sensible Daten exfiltrieren und Ransomware einsetzen.
Eine zentrale Taktik der Kampagne ist das „Domain Shadowing“, bei dem Angreifer bösartige Subdomains unter legitimen Websites erstellen, um Sicherheitsfilter zu umgehen. Trend Micro-Forscher stellen fest, dass der Umfang dieses Angriffs größer ist als bei früheren SocGholish-Operationen, mit mindestens 2.500 kompromittierten Domains.
Neben Ransomware wird SocGholish auch zur Verbreitung von Infostealer-Malware für Windows, Android und macOS genutzt. Cybersicherheitsexperten warnen, dass die Kombination aus kompromittierten vertrauenswürdigen Websites, fortschrittlichen Sandbox-Umgehungstechniken und der Traffic-Distribution über Keitaro SocGholish-Infektionen besonders gefährlich macht. Unternehmen wird geraten, erweiterte Erkennungs- und Reaktionslösungen (XDR) zu implementieren und die Ausführung von PowerShell einzuschränken, um diese Bedrohungen zu minimieren.
Source: Cybersecurity Dive
Das European Cyber Intelligence Forum ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.