Actif depuis 2018, SocGholish utilise des chargeurs JavaScript hautement obfusqués pour contourner les systèmes de détection traditionnels. Ce malware détourne le trafic Web via Keitaro, un système commercial de distribution de trafic, filtrant les chercheurs en cybersécurité tout en redirigeant les victimes vers des mises à jour infectées. Une fois exécuté, le malware installe des portes dérobées basées sur Python, permettant aux affiliés de RansomHub d’obtenir un accès initial aux systèmes des victimes, d’exfiltrer des données sensibles et de déployer des ransomwares.
L’une des tactiques clés de cette campagne est le “domain shadowing”, une technique qui permet aux attaquants de créer des sous-domaines malveillants sous des sites Web légitimes, leur permettant ainsi d’échapper aux filtres de sécurité. Les chercheurs de Trend Micro soulignent que l’ampleur de cette attaque dépasse celle des précédentes opérations de SocGholish, avec au moins 2 500 domaines compromis identifiés.
En plus des ransomwares, SocGholish est également utilisé pour distribuer des malwares voleurs d’informations sur Windows, Android et macOS. Les experts en cybersécurité avertissent que la combinaison de sites Web compromis, de techniques avancées d’évasion des sandbox et de la distribution de trafic via Keitaro rend les infections SocGholish extrêmement dangereuses. Il est conseillé aux organisations de mettre en place des solutions de détection et de réponse étendues (XDR) et de restreindre l’exécution de PowerShell pour atténuer ces menaces.
Source: Cybersecurity Dive
Le European Cyber Intelligence Forum est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.