SocGholish

SocGholish è il nome dato dai ricercatori di infosec a un'infrastruttura creata da criminali informatici per eseguire attacchi drive-by download. Il framework fa un uso liberale di varie tattiche manipolative e di ingegneria sociale che portano gli utenti al sito Web di staging infetto. SocGholish tenta di indurre i suoi bersagli a eseguire i file ZIP danneggiati che fornisce fingendo che siano aggiornamenti legittimi per browser, Flash o Microsoft Teams. Il metodo di consegna principale è tramite iFrame che sovrappongono un sito Web legittimo con una versione danneggiata all'insaputa dell'utente. Sfruttando iFrame, gli hacker possono aggirare il filtro Web perché le categorie del sito Web vengono fornite da quelle legittime.

A differenza di alcune delle infrastrutture drive-by rilevate in precedenza, SocGholish non fa affidamento sulle vulnerabilità del browser o sugli exploit kit per infettare i suoi obiettivi. Invece, è in grado di eseguire tre diverse tecniche. Il primo vede i criminali informatici stabilire un attacco di abbeveraggio. Si rivolgono a siti Web con elevate quantità di traffico e vi iniettano iFrame. Gli utenti che visitano i siti già manomessi verranno reindirizzati a diversi reindirizzamenti fino a quando non atterrano sul sito fornendo un file ZIP danneggiato. La seconda tecnica prevede l'iniezione di iFrame nei sistemi di gestione dei contenuti. Il download drive-by dei file danneggiati viene attivato tramite BLOB JavaScript. Il terzo metodo vede SocGholish sfruttare nuovamente JavaScript insieme a sites.google.com per generare dinamicamente collegamenti per il download che conducono al file danneggiato. L'archivio ZIP, in questo caso, è ospitato su un Google Drive legittimo mentre il download viene avviato tramite un clic simulato del mouse.

I ricercatori notano che il file fornito dall'attacco drive-by di solito funge da payload di primo stadio. Ha il compito di scansionare il sistema infetto, recuperare il payload intermedio o la minaccia malware finale ed eseguirlo. È stato segnalato che SocGholish alla fine distribuisce il Trojan bancario Dridex o una variante del WastedLocker Ransomware sul computer compromesso.

Tendenza

I più visti

Caricamento in corso...