SocGholish MaaS
A SocGholish, más néven FakeUpdates, egy malware-as-a-service (MaaS) keretrendszer, amelyet először 2018-ban észleltek. Ez a fenyegetés különösen veszélyes, mivel kifinomult behatolási technikákat alkalmaz, amelyek lehetővé teszik a zsarolóvírusok, például a RansomHub terjesztését.
A támadók legitim weboldalakat kompromittálnak, és rosszindulatú JavaScript kódokat injektálnak ezekbe. Amikor a felhasználók meglátogatják ezeket az oldalakat, átirányításra kerülnek hamis böngészőfrissítési értesítésekhez, amelyek meggyőzik őket egy rosszindulatú ZIP fájl letöltéséről. Ez a ZIP fájl tartalmazza a SocGholish loader-t.
A SocGholish erősen obfuszkált JavaScript betöltőt használ, amely különböző technikákkal kerüli el a hagyományos észlelési módszereket, így nehezítve a biztonsági rendszerek számára a fenyegetés felismerését.
A betöltő további rosszindulatú komponenseket, például hátsó ajtókat telepíthet, amelyek tartós hozzáférést biztosítanak a támadóknak az érintett rendszerekhez, lehetővé téve további kihasználást és payloadok telepítését.
A SocGholish kulcsszerepet játszik a RansomHub zsarolóvírus terjesztésében. A RansomHub egy ransomware-as-a-service (RaaS) modellben működő fenyegetés, amely az elmúlt időszakban jelentős számú adatvédelmi incidenst okozott.A SocGholish által biztosított kezdeti hozzáférés lehetővé teszi a RansomHub számára, hogy gyorsan és hatékonyan terjedjen a célzott hálózatokban.