Χάκερ κατάφεραν να εισάγουν το SocGholish malware σε εκατοντάδες ειδησεογραφικά sites

Η υποδομή μιας ανώνυμης εταιρείας μέσων ενημέρωσης “καταλήφθηκε” από χάκερ προκειμένου να εισάγουν το SocGholish JavaScript malware framework (γνωστό και ως FakeUpdates) σε εκατοντάδες ιστότοπους εφημερίδων σε όλη την Αμερική.

Δείτε επίσης: Το cryptocurrency exchange Deribit χακαρίστηκε

“Το BleepingComputer μίλησε με τον Sherrod DeGrippo, αντιπρόεδρο έρευνας και ανίχνευσης απειλών της Proofpoint, ο οποίος δήλωσε ότι η εν λόγω εταιρεία μέσων ενημέρωσης είναι μια εταιρεία που παρέχει τόσο περιεχόμενο βίντεο όσο και διαφήμιση. [Εξυπηρετεί] πολλές διαφορετικές εταιρείες σε διάφορες αγορές εντός των Ηνωμένων Πολιτειών”.

Ο απειλητικός παράγοντας πίσω από αυτή την επίθεση στην αλυσίδα εφοδιασμού (που εντοπίστηκε από την Proofpoint ως TA569) έχει εισάγει κακόβουλο κώδικα σε ένα αρχείο JavaScript που φορτώνεται από ειδησεογραφικούς ιστότοπους.

SecNewsTV

23.4K subscribers

Περισσότερα... Subscribe!

Αυτό το κακόβουλο αρχείο JavaScript χρησιμοποιείται για την εγκατάσταση του SocGholish το οποίο θα μολύνει όσους επισκέπτονται τους παραβιασμένους ιστότοπους με malware payloads καμουφλαρισμένα ως ψεύτικα browser updates που παραδίδονται ως αρχεία ZIP (π.χ. Chromе.Uрdatе.zip, Chrome.Updater.zip, Firefoх.Uрdatе.zip, Operа.Updаte.zip, Oper.Updte.zip) μέσω ψεύτικων ειδοποιήσεων ενημέρωσης.

Σήμερα, η ομάδα Threat Insight της Proofpoint αποκάλυψε ότι παρατήρησε διαλείπουσες ενέσεις σε μια εταιρεία μέσων ενημέρωσης που εξυπηρετεί πολλά μεγάλα ειδησεογραφικά μέσα. Αυτή η εταιρεία μέσων ενημέρωσης σερβίρει περιεχόμενο μέσω Javascript στους συνεργάτες της, ανέφερε η ομάδα Threat Insight της Proofpoint σε ένα thread στο Twitter.

Δείτε επίσης: H Dropbox ανακοίνωσε παραβίαση ασφαλείας – Hacker έκλεψε GitHub repositories

Οι ερευνητές ασφαλείας της Proofpoint διαπίστωσαν ότι το κακόβουλο λογισμικό είχε εγκατασταθεί σε ιστότοπους που ανήκουν σε περισσότερους από 250 ειδησεογραφικούς οργανισμούς που εδρεύουν στις Ηνωμένες Πολιτείες, ορισμένοι από τους οποίους είναι μεγάλα ειδησεογραφικά πρακτορεία.

Ενώ δεν γνωρίζουμε επί του παρόντος πόσοι ειδησεογραφικοί οργανισμοί έχουν επηρεαστεί, η Proofpoint αναφέρει ότι έχει βρει επηρεασμένα μέσα ενημέρωσης (συμπεριλαμβανομένων εθνικών ειδησεογραφικών ιστότοπων) στη Νέα Υόρκη, τη Βοστώνη, το Σικάγο, το Μαϊάμι, την Ουάσινγκτον και αλλού.

Συνδέεται με επιθέσεις ransomware

Το Proofpoint έχει εντοπίσει στο παρελθόν εκστρατείες SocGholish που χρησιμοποιούν ψεύτικες ενημερώσεις και ανακατευθύνσεις ιστότοπων για να μολύνουν τους χρήστες, μερικές από τις οποίες περιείχαν ransomware payloads.

Η συμμορία ηλεκτρονικού εγκλήματος Evil Corp στόχευσε τους υπαλλήλους περισσότερων από 30 μεγάλων ιδιωτικών επιχειρήσεων των ΗΠΑ σε μια παρόμοια εκστρατεία, χρησιμοποιώντας το SocGholish μέσω ψεύτικων ειδοποιήσεων για ενημερώσεις λογισμικού που παραδόθηκαν μέσω δεκάδων παραβιασμένων ιστότοπων αμερικανικών εφημερίδων.

Χρησιμοποιώντας τους υπολογιστές που είχαν μολύνει ως αρχικό βήμα, η συμμορία μπόρεσε να αποκτήσει πρόσβαση στα εταιρικά δίκτυα των εργοδοτών. Αυτές οι επιθέσεις ανέπτυξαν με επιτυχία το ransomware WastedLocker.

Δείτε επίσης: Play Store: Προσοχή! Βρέθηκαν 4 κακόβουλες Android εφαρμογές

Σε μια τυχερή τροπή των γεγονότων, η Symantec αποκάλυψε ότι είχε μπλοκάρει τις προσπάθειες της Evil Corp να κρυπτογραφήσει τα παραβιασμένα δίκτυα σε επιθέσεις που στόχευαν πολλές ιδιωτικές εταιρείες. Σε αυτές περιλαμβάνονται 30 αμερικανικές εταιρείες, οκτώ από τις οποίες είναι εταιρείες του Fortune 500.

Η Microsoft ανακάλυψε ότι η Evil Corp χρησιμοποιούσε το SocGholish για να ανοίξει backdoor σε δίκτυα που είχαν μολυνθεί με το malware Raspberry Robin, σε μια συμπεριφορά που είναι γνωστή ως “Evil Corp pre-ransomware”.

Πηγή πληροφοριών: bleepingcomputer.com