SocGholish

Med GoldSparrow i Malware

Oversæt til:

SocGholish er det navn, der gives af infosec-forskere til en infrastruktur, der er oprettet af cyberkriminelle til at udføre drive-by-downloadangreb. Rammen gør liberal brug af forskellige socialtekniske og manipulerende taktikker, der fører brugerne til det inficerede iscenesættelseswebsted. SocGholish forsøger at narre sine mål til at udføre de beskadigede ZIP-filer, den leverer, ved at lade som om de er legitime opdateringer til browser, Flash eller Microsoft Teams. Den primære leveringsmetode er gennem iFrames, der overlejrer et legitimt websted med en beskadiget version uden brugerens viden. Ved at udnytte iFrames kan hackerne omgå webfiltrering, fordi webstedskategorierne leveres fra legitime.

I modsætning til nogle af de tidligere opdagede drive-by-infrastrukturer er SocGholish ikke afhængig af browsersårbarheder eller udnytter kits til at inficere sine mål. I stedet er det i stand til at udføre tre forskellige teknikker. Den første ser cyberkriminelle etablere et vandhulangreb. De målretter mod websteder med store mængder trafik og injicerer iFrames i dem. Brugere, der besøger de allerede manipulerede websteder, vil blive taget gennem flere omdirigeringer, indtil de lander på webstedet og leverer en beskadiget ZIP-fil. Den anden teknik involverer injektion af iFrames i indholdsstyringssystemer. Drive-by-download af de beskadigede filer udløses via JavaScript-blobs. Den tredje metode ser SocGholish udnytte JavaScript igen sammen med sites.google.com for at generere downloadlink, der fører til den beskadigede fil dynamisk. ZIP-arkivet er i dette tilfælde hostet på et legitimt Google Drev, mens downloadet startes gennem et simuleret museklik.

Forskere bemærker, at filen leveret af drive-by-angrebet normalt fungerer som en første-trins nyttelast. Det har til opgave at scanne det inficerede system, hente den mellemliggende nyttelast eller den endelige malware-trussel og udføre den. SocGholish er rapporteret i sidste ende at distribuere Dridex banking Trojan eller en variant af WastedLocker Ransomware på den kompromitterede computer.

Søg

Skift region

SocGholish

Tilføj kommentar

Trending

'YouPorn' e-mail-svindel

Safe Search Eng

MyWallPaper

Mest sete

Er Lookmovie.io sikkert?

Sådan løses 'Fejl ved' Printerdriver er ikke...

Discord viser sort skærm, når skærmdeles