SocGholish
SocGholish is de naam die door infosec-onderzoekers wordt gegeven aan een infrastructuur die is opgezet door cybercriminelen om drive-by downloadaanvallen uit te voeren. Het raamwerk maakt liberaal gebruik van verschillende social engineering en manipulatieve tactieken die gebruikers naar de geïnfecteerde ensceneringswebsite leiden. SocGholish probeert zijn doelwitten te misleiden om de beschadigde ZIP-bestanden die het levert, uit te voeren door te doen alsof het legitieme updates zijn voor browser, Flash of Microsoft Teams. De primaire bezorgmethode is via iFrames die een legitieme website met een beschadigde versie overlappen zonder medeweten van de gebruiker. Door gebruik te maken van iFrames, kunnen de hackers webfiltering omzeilen omdat de websitecategorieën worden geleverd door legitieme.
In tegenstelling tot sommige van de eerder ontdekte drive-by-infrastructuren, vertrouwt SocGholish niet op kwetsbaarheden in de browser of exploitkits om zijn doelen te infecteren. In plaats daarvan is het in staat om drie verschillende technieken uit te voeren. De eerste ziet de cybercriminelen een watering hole-aanval opzetten. Ze richten zich op websites met veel verkeer en injecteren iFrames erin. Gebruikers die de reeds geknipte sites bezoeken, worden door verschillende omleidingen geleid totdat ze op de site terechtkomen en een beschadigd ZIP-bestand afleveren. De tweede techniek omvat de injectie van iFrames in contentmanagementsystemen. De drive-by-download van de beschadigde bestanden wordt geactiveerd via JavaScript-blobs. Bij de derde methode gebruikt SocGholish JavaScript opnieuw naast sites.google.com om downloadlinks te genereren die dynamisch naar het beschadigde bestand leiden. Het ZIP-archief wordt in dit geval gehost op een legitieme Google Drive terwijl de download wordt gestart met een gesimuleerde muisklik.
Onderzoekers merken op dat het bestand dat door de drive-by-aanval wordt afgeleverd, meestal fungeert als een payload in de eerste fase. Het is belast met het scannen van het geïnfecteerde systeem, het ophalen van de tussenliggende payload of de laatste malwarebedreiging en het uitvoeren ervan. SocGholish zou uiteindelijk de Dridex-banktrojan of een variant van de WastedLocker Ransomware inzetten op de besmette computer.
