Attivo dal 2018, SocGholish utilizza loader JavaScript altamente offuscati per eludere i sistemi di sicurezza tradizionali. Il malware intercetta il traffico web attraverso Keitaro, un sistema commerciale di distribuzione del traffico, filtrando i ricercatori di sicurezza e indirizzando le vittime inconsapevoli verso aggiornamenti infetti. Una volta eseguito, il malware installa backdoor basate su Python, consentendo agli affiliati di RansomHub di ottenere accesso iniziale ai sistemi delle vittime, esfiltrare dati sensibili e distribuire ransomware.
Una delle tattiche chiave della campagna è il “domain shadowing”, una tecnica che permette agli attaccanti di creare sottodomini dannosi sotto siti web legittimi, aiutandoli a bypassare i filtri di sicurezza. I ricercatori di Trend Micro segnalano che la portata di questo attacco è maggiore rispetto alle precedenti operazioni di SocGholish, con almeno 2.500 domini compromessi identificati.
Oltre al ransomware, SocGholish viene utilizzato anche per distribuire malware infostealer su Windows, Android e macOS. Gli esperti di sicurezza informatica avvertono che la combinazione di siti web compromessi, avanzate tecniche di evasione dei sandbox e la distribuzione del traffico tramite Keitaro rende le infezioni da SocGholish particolarmente pericolose. Si raccomanda alle organizzazioni di implementare soluzioni di rilevamento e risposta estesa (XDR) e di limitare l’esecuzione di PowerShell per mitigare questi rischi.
Source: Cybersecurity Dive
L’European Cyber Intelligence Forum è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.