1,5 миллиона заражений за неделю: SocGholish снова в деле

Злоумышленники вновь активизировали распространение вредоносного ПО SocGholish, маскируя его под обновления браузеров. По данным экспертов Intel 471, используя скомпрометированные сайты, атакующие предлагают пользователям загрузить ZIP-файлы, содержащие заражённые скрипты. Этот метод позволяет хакерам обойти традиционные меры кибербезопасности и распространить вредоносное ПО среди доверчивых пользователей.

SocGholish используется киберпреступниками как инструмент первоначального доступа к системам жертв. Вредоносные скрипты встраиваются в легитимные сайты, которые затем появляются в результатах поисковых систем. При посещении такого ресурса жертве демонстрируется поддельное уведомление о необходимости обновления браузера. После загрузки и распаковки ZIP-файла активируется вредоносный код, запускающий цепочку заражения.

Анализ показывает, что SocGholish адаптирует атаку в зависимости от устройства жертвы. Встроенные скрипты анализируют операционную систему и тип браузера, после чего решают, показывать ли пользователю фальшивую плашку об обновлении. Этот метод значительно повышает эффективность атаки, так как злоумышленники избегают обнаружения на неподходящих устройствах.

Основной целью атакующих остаётся установка на систему дополнительных вредоносных компонентов. ZIP-архивы, распространяемые под видом обновлений, часто содержат обфусцированные JavaScript-файлы, загружающие на устройство RAT-трояны, инструменты удалённого администрирования и даже программы-вымогатели. Среди распространённых инструментов атаки фигурирует Cobalt Strike, позволяющий киберпреступникам перемещаться по сети и повышать свои привилегии.

Одним из ключевых элементов распространения SocGholish остаётся метод Domain Shadowing. Атакующие взламывают легитимные домены и создают на них вредоносные поддомены, которые затем используются для распространения вирусных файлов. Дополнительно применяются промежуточные серверы для скрытной передачи полезной нагрузки, что затрудняет обнаружение атаки.

Исследования указывают на возможную связь кампаний SocGholish с группировкой Evil Corp, известной распространением банковских троянов и программ-вымогателей. Эта группировка использует SocGholish как средство для проникновения в системы с последующей монетизацией атаки.

Согласно данным аналитиков, за одну неделю в конце 2024 года зафиксировано более 1,5 миллиона взаимодействий пользователей с вредоносными ресурсами, связанными с SocGholish. Это подчёркивает масштаб угрозы и высокую степень эффективности кампаний с использованием данного инструмента.

Для защиты от подобных атак эксперты рекомендуют соблюдать меры предосторожности. Важно проверять подлинность обновлений программного обеспечения, использовать современные решения для обнаружения угроз, а также регулярно анализировать веб-ресурсы на предмет возможных компрометаций. Организациям следует внедрять системы мониторинга трафика и обнаружения аномалий, чтобы своевременно выявлять подозрительную активность.