SocGholish malware leállítása
Az Operation Endgame legújabb szakaszában a nemzetközi bűnüldöző szervek a SocGholish (FakeUpdates) malware infrastruktúrát vették célba. A SocGholish évek óta az egyik legfontosabb kezdeti hozzáférést biztosító malware, amely kompromittált weboldalakon megjelenő hamis böngészőfrissítésekkel fertőzi meg az áldozatokat, majd további kártevőket telepít. A malware szorosan kapcsolódik az orosz Evil Corp kiberbűnözői hálózathoz, amely korábban a Dridex és Zeus banki malware-ek mögött is állt.
A művelet során a hatóságok és partnereik több SocGholish-hoz kapcsolódó szervert és infrastruktúraelemet azonosítottak és zavartak meg. A kampány az Operation Endgame azon stratégiájába illeszkedik, amely nem a végső ransomware-csoportokat támadja, hanem azokat a szolgáltatókat és malware-platformokat, amelyek a kezdeti hozzáférést biztosítják a későbbi támadásokhoz.
Korábbi Endgame-akciók során többek között a TrickBot, QakBot, DanaBot, Bumblebee, HijackLoader, Lactrodectus és Warmcookie infrastruktúrái ellen léptek fel.
A SocGholish jelentősége abban áll, hogy tömeges fertőzéseket generál kompromittált weboldalakon keresztül, majd a megszerzett hozzáféréseket gyakran más bűnözői csoportoknak értékesíti. Ezért egy ilyen infrastruktúra felszámolása nem csupán egyetlen malware-családot érint, hanem a teljes ransomware egyik fontos belépési pontját gyengíti. A bűnüldöző szervek szerint az Operation Endgame tovább folytatódik, és a cél továbbra is a ransomware ellátási láncának korai szakaszait biztosító szereplők felszámolása.
