Activo desde 2018, SocGholish utiliza cargadores JavaScript altamente ofuscados para evadir los sistemas de seguridad tradicionales. El malware intercepta el tráfico web a través de Keitaro, un sistema comercial de distribución de tráfico, filtrando a los investigadores de seguridad y redirigiendo a las víctimas desprevenidas a actualizaciones infectadas. Una vez ejecutado, el malware instala puertas traseras basadas en Python, lo que permite a los afiliados de RansomHub obtener acceso inicial a los sistemas de las víctimas, exfiltrar datos sensibles y desplegar ransomware.
Una de las tácticas clave de la campaña es el “domain shadowing”, una técnica que permite a los atacantes crear subdominios maliciosos dentro de sitios web legítimos, lo que les ayuda a evadir los filtros de seguridad. Los investigadores de Trend Micro señalan que la magnitud de este ataque es mayor que las anteriores operaciones de SocGholish, con al menos 2.500 dominios comprometidos identificados.
Además del ransomware, SocGholish también se está utilizando para distribuir malware infostealer en Windows, Android y macOS. Los expertos en ciberseguridad advierten que la combinación de sitios web comprometidos, técnicas avanzadas de evasión de sandbox y la distribución de tráfico a través de Keitaro hace que las infecciones de SocGholish sean altamente peligrosas. Se recomienda a las organizaciones implementar soluciones de detección y respuesta extendida (XDR) y restringir la ejecución de PowerShell para mitigar estos riesgos.
Source: Cybersecurity Dive
El European Cyber Intelligence Forum es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.