Специалисти алармираха за нова киберпрестъпна кампания със SocGholish
Компанията за сигурност Silent Push сигнализира за нова акция на известна незаконна група чрез SocGholish/FakeUpdates.
SocGholish е името на злотворен, модулен фреймуърк, употребен за разпространяването на зловредни стратегии. Авторите на офанзивите употребяват SocGholish/FakeUpdates като MaaS (malware-as-a-service) платформа, продавайки получения посредством него достъп до инфектирани машини на други киберпрестъпници. Както подсказва и името на фреймуърка (FakeUpdates), той постоянно показва пред евентуалните жертви подканяне за инсталиране на софтуерни актуализации за Гугъл Chrome или Mozilla Firefox, Adobe Flash Player, Microsoft Teams и други Що се отнася до киберпрестъпната група, която го употребява, то тя е позната, като TA569. Но също и като Gold Prelude, Mustard Tempest, Purple Vallhund, UNC1543. В взаимозависимост от признатата от компанията за сигурност, която преглежда дейностите им спогодба.
Настоящата акция се преглежда от компанията за киберсигурност Silent Push. Подобно и на други акции, и в тази началния вектор на офанзива се явяват компрометирани страници. Но в тази ситуация, с изключение на посредством компрометирани уеб сайтове, TA569 употребяват за привличане към страници със SocGholish и TDS (traffic distribution systems) системи. Използвани в началото от рекламни сътрудници за целенасочена реклама и таргетиране по ползи, географски принцип и други, системите за систематизиране на трафика бързо се овладяват от киберпрестъпници за привличане на евентуални жертви към инфектирани страници. В случая те употребяват услугите на две такива съответни, сенчести платформи – Parrot TDS и Keitaro TDS. Последната е известна от акции, доставящи троянски коне, рансъмуер и различен тип зловредни стратегии. Регистрирано е потреблението ѝ и в дезинформационни акции. Но Keitaro се употребява и за законни цели, което прави блокирането ѝ непрактично.
Целта на Silent Push с проучването е освен да осветли актуалната акция, само че и да уточни съответни знаци, употребявани от SocGholish и TA569 IP адреси и домейни. Пълният текст на отчета може да намерите тук.
