Agências de aplicação da lei de quatro países, em parceria com a Europol e aliados do setor privado, interromperam a infraestrutura do SocGholish e desinfectaram quase 15 mil sites WordPress infectados.
Ativo desde 2017 e também conhecido como FakeUpdates, o SocGholish é uma estrutura de malware injetada em sites que utilizam sistemas populares de gerenciamento de conteúdo, como WordPress, Joomla e Drupal, seja por meio de vulnerabilidades conhecidas ou de credenciais roubadas.
A estrutura atua como um dropper (programa instalador de malware) baseado em JavaScript, implantando diversas famílias de malware como parte de downloads drive-by (baixos automáticos ao visitar a página), incluindo ransomware, cavalos de troia bancários, spyware e outros, sendo um dos carregadores mais utilizados nos últimos anos.
O SocGholish é operado por um agente de ameaça de língua russa rastreado como DEV-0206, Gold Prelude, Mustard Tempest, TA569 e UNC1543, que atua como corretor de acesso inicial e tem sido associado à notória quadrilha Evil Corp (supostamente ligada à inteligência russa).
O TA569 foi observado comprometendo sites de forma indiscriminada para injetar o carregador SocGholish, incluindo portais de mídia e varejo de destaque, visitados por milhões de usuários diariamente.
O malware analisa o navegador da vítima, realiza verificações específicas e, em seguida, substitui a página inteira por uma falsa atualização de navegador para induzir o usuário a baixar uma carga maliciosa, explica a Proofpoint.
A unidade de defesa cibernética da Orange observou o SocGholish entregando carregadores como Gholoader e MintsLoader, que eventualmente levavam a cargas como o backdoor (porta de acesso remoto) GhostWeaver em PowerShell, os ransomwares LockBit e RansomHub, e os backdoors AsyncRAT e NetSupport RAT (cavalos de troia de acesso remoto).
De acordo com a Infoblox, aproximadamente 55% dos clientes de nuvem foram expostos ao SocGholish este ano, o que demonstra o alto risco que a botnet representa para empresas em todo o mundo.
A ShadowServer Foundation coloca isso em perspectiva: em maio, havia mais de 1,44 milhão de sites WordPress comprometidos disponíveis para uso pelo SocGholish.
Autoridades nos Países Baixos, Canadá, Estados Unidos e Alemanha, com apoio da Europol, derrubaram 106 servidores e domínios de comando e controle (C&C) associados ao SocGholish, e removeram backdoors e malware de 14.971 sites WordPress infectados.
A polícia holandesa informa que notificações também foram enviadas aos proprietários de sites WordPress cujas credenciais comprometidas foram identificadas, incentivando-os a alterar seus logins, ativar a autenticação multifator (MFA, na sigla em inglês), excluir contas suspeitas e manter seus sites atualizados.
