SocGholish

SocGholish es el nombre que los investigadores de seguridad de la información le dan a una infraestructura configurada por los ciberdelincuentes para realizar ataques de descargas no autorizadas. El marco hace un uso liberal de diversas tácticas de manipulación e ingeniería social que llevan a los usuarios al sitio web de ensayo infectado. SocGholish intenta engañar a sus objetivos para que ejecuten los archivos ZIP corruptos que entrega fingiendo que son actualizaciones legítimas para el navegador, Flash o Microsoft Teams. El método de entrega principal es a través de iFrames que superponen un sitio web legítimo con una versión dañada sin el conocimiento del usuario. Al aprovechar los iFrames, los piratas informáticos pueden eludir el filtrado web porque las categorías de sitios web provienen de categorías legítimas.

A diferencia de algunas de las infraestructuras drive-by detectadas anteriormente, SocGholish no se basa en las vulnerabilidades del navegador ni en los kits de explotación para infectar sus objetivos. En cambio, es capaz de realizar tres técnicas diferentes. El primero ve a los ciberdelincuentes establecer un ataque de abrevadero. Se dirigen a sitios web con grandes cantidades de tráfico e inyectan iFrames en ellos. Los usuarios que visiten los sitios ya manipulados pasarán por varios redireccionamientos hasta que lleguen al sitio entregando un archivo ZIP dañado. La segunda técnica implica la inyección de iFrames en sistemas de gestión de contenido. La descarga automática de los archivos dañados se activa a través de blobs de JavaScript. El tercer método hace que SocGholish aproveche JavaScript nuevamente junto con sites.google.com para generar enlaces de descarga que conducen al archivo dañado de forma dinámica. El archivo ZIP, en este caso, está alojado en un Google Drive legítimo mientras que la descarga se inicia mediante un clic del mouse simulado.

Los investigadores señalan que el archivo entregado por el ataque drive-by generalmente actúa como una carga útil de primera etapa. Tiene la tarea de escanear el sistema infectado, buscar la carga útil intermedia o la amenaza de malware final y ejecutarla. Se ha informado que SocGholish finalmente implementa el troyano bancario Dridex o una variante del WastedLocker Ransomware en la computadora comprometida.

Tendencias

Mas Visto

Cargando...