SocGholish
SocGholish é o nome dado pelos pesquisadores de infosec a uma infraestrutura configurada por cibercriminosos para realizar ataques de download drive-by. A estrutura faz uso liberal de várias táticas de engenharia social e manipulação que levam os usuários ao site de teste infectado. O SocGholish tenta enganar seus alvos para que executem os arquivos ZIP corrompidos que fornece, fingindo que são atualizações legítimas para o navegador, Flash ou Microsoft Teams. O principal método de entrega é por meio de iFrames que sobrepõem um site legítimo com uma versão corrompida sem o conhecimento do usuário. Aproveitando os iFrames, os hackers podem contornar a filtragem da Web porque as categorias do site são fornecidas por categorias legítimas.
Ao contrário de algumas das infraestruturas drive-by detectadas anteriormente, o SocGholish não depende de vulnerabilidades do navegador ou kits de exploração para infectar seus alvos. Em vez disso, ele é capaz de realizar três técnicas diferentes. O primeiro vê os cibercriminosos estabelecerem um ataque watering hole. Eles têm como alvo sites com alto tráfego e injetam iframes neles. Os usuários que visitarem os sites já adulterados serão conduzidos por vários redirecionamentos até chegar ao local, entregando um arquivo ZIP corrompido. A segunda técnica envolve a injeção de iframes em sistemas de gerenciamento de conteúdo. O download direto dos arquivos corrompidos é acionado por meio de blobs JavaScript. O terceiro método vê o SocGholish alavancar o JavaScript novamente junto com sites.google.com para gerar links de download que levam ao arquivo corrompido de forma dinâmica. O arquivo ZIP, neste caso, é hospedado em um Google Drive legítimo enquanto o download é iniciado por meio de um clique de mouse simulado.
Os pesquisadores observam que o arquivo entregue pelo ataque drive-by geralmente atua como uma carga útil de primeiro estágio. Tem a tarefa de varrer o sistema infectado, buscar a carga intermediária ou a ameaça final de malware e executá-la. Foi relatado que o SocGholish implantou o Trojan bancário Dridex ou uma variante do WastedLocker Ransomware no computador comprometido.
