📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As autoridades holandesas de aplicação da lei, juntamente com homólogas do Canadá, Alemanha e EUA, interromperam a infraestrutura maliciosa associada ao SocGholish e limparam quase 15.000 sites WordPress infectados.
“Com essas ações, privamos os cibercriminosos do acesso aos sistemas de computadores infectados”, disse Maikel Rollman, da Unidade Nacional de Crimes de Alta Tecnologia da Holanda.
"Isto evita maiores danos aos sistemas digitais de cidadãos, empresas e organizações em todo o mundo e limita a propagação de malware. Também reduz o risco de estes sistemas serem utilizados para ataques cibernéticos a infraestruturas críticas e outros processos sociais essenciais. Isto marca o início de novas ações contra o SocGholish."
A remoção faz parte da Operação Endgame, uma iniciativa internacional contínua de aplicação da lei para combater botnets e infraestruturas criminosas associadas. Foi lançado em 2024.
Como parte do esforço, 106 servidores vinculados ao SocGholish foram desativados e 14.971 sites WordPress foram eliminados das infecções. Os proprietários de sites foram notificados para atualizar seu sistema de gerenciamento de conteúdo (CMS), alterar suas credenciais e excluir quaisquer contas suspeitas.
Ativo desde 2017 e também conhecido como FakeUpdates, SocGholish é um malware de download baseado em JavaScript (JS) que normalmente serve como um canal para malware de próximo estágio de vários atores de ameaças, como Evil Corp (também conhecido como DEV-0243, Indrik Spider e UNC2165), LockBit, RansomHub, Dridex e Raspberry Robin (também conhecido como Roshtyak).
“O malware estabelece uma posição inicial nos computadores das vítimas, conhecidos coletivamente como botnet, e é então usado por agentes de ameaças para ataques adicionais com campanhas de ransomware e espionagem”, disse a Divisão Cibernética do Federal Bureau of Investigation (FBI) dos EUA em um post compartilhado no LinkedIn.
Ele é distribuído por meio de sites comprometidos, disfarçando-se de atualizações enganosas para navegadores da web como Google Chrome ou Mozilla Firefox e outros softwares populares. Os operadores do malware foram rastreados sob vários pseudônimos, como Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 e UNC1543.
“As infecções SocGholish normalmente se originam de sites comprometidos que foram infectados de várias maneiras diferentes”, observou Silent Push em uma análise do malware no ano passado. “As infecções de sites podem envolver injeções diretas, onde a entrega de carga útil do SocGholish injeta JS carregado diretamente de uma página infectada ou por meio de uma versão da injeção direta que usa um arquivo JS intermediário para carregar a injeção relacionada.”
Em novembro de 2025, Arctic Wolf revelou que o SocGholish estava sendo usado pelos atores da ameaça RomCom para entregar o Agente Mítico, destacando o uso dos serviços do corretor de acesso inicial por uma ampla gama de atores com motivações variadas.
Sites WordPress comprometidos pelo SocGholish geolocalizados por IP por país
A Orange Cyberdefense disse ter observado infecções SocGholish entregando carregadores como Gholoader (outro carregador baseado em JavaScript) e MintsLoader, que, por sua vez, levam à implantação de cargas adicionais como GhostWeaver, LockBit, AsyncRAT e NetSupport RAT.
“O SocGholish usa um modelo de entrega em camadas e foi observado permitindo múltiplas categorias de cargas úteis subsequentes”, disse a empresa de segurança cibernética, acrescentando que o ator da ameaça também colabora com operadores de sistemas de distribuição de tráfego (TDS) como o TA2726.
TDS é uma tecnologia usada para direcionar os visitantes do site para diferentes destinos com base em diferentes fatores. Isso pode variar de sites de login comprometidos ou falsos que hospedam páginas de phishing a sites falsos que solicitam que os usuários baixem atualizações de software contendo malware, que podem então obter acesso às redes das vítimas para ransomware ou outros golpes financeiros.
“Os cibercriminosos usam o TDS para contornar as regras tradicionais de firewall que, de outra forma, bloqueariam conexões a sites maliciosos e para analisar possíveis vítimas, coletando seu endereço IP, sistema operacional, localização, dispositivo e informações do navegador”, disse o FBI. “Depois de direcionar os usuários para um TDS, muitas vezes por meio de várias técnicas de engenharia social, os cibercriminosos podem explorar os dispositivos dos usuários no final da cadeia de redirecionamento do TDS, entregando páginas de phishing, golpes financeiros e outros malwares”.
Muitas das instâncias comprometidas do WordPress foram modificadas para incluir infraestrutura criminosa operada pela SocGholish, de acordo com a Shadowserver Foundation. A grande maioria dos sites invadidos estava localizada nos EUA, seguidos pela Alemanha, França, Índia, Brasil, Singapura, Itália, Indonésia, Canadá e Vietname.
“O abuso também inclui o uso de um processo conhecido como ‘Domain Shadowing'”, disse a organização sem fins lucrativos. "Esta é uma técnica em que um agente de ameaça obtém acesso ao provedor de DNS oficial ou ao painel de conta do registrador para um domínio legítimo e usa sua conta
“Com essas ações, privamos os cibercriminosos do acesso aos sistemas de computadores infectados”, disse Maikel Rollman, da Unidade Nacional de Crimes de Alta Tecnologia da Holanda.
"Isto evita maiores danos aos sistemas digitais de cidadãos, empresas e organizações em todo o mundo e limita a propagação de malware. Também reduz o risco de estes sistemas serem utilizados para ataques cibernéticos a infraestruturas críticas e outros processos sociais essenciais. Isto marca o início de novas ações contra o SocGholish."
A remoção faz parte da Operação Endgame, uma iniciativa internacional contínua de aplicação da lei para combater botnets e infraestruturas criminosas associadas. Foi lançado em 2024.
Como parte do esforço, 106 servidores vinculados ao SocGholish foram desativados e 14.971 sites WordPress foram eliminados das infecções. Os proprietários de sites foram notificados para atualizar seu sistema de gerenciamento de conteúdo (CMS), alterar suas credenciais e excluir quaisquer contas suspeitas.
Ativo desde 2017 e também conhecido como FakeUpdates, SocGholish é um malware de download baseado em JavaScript (JS) que normalmente serve como um canal para malware de próximo estágio de vários atores de ameaças, como Evil Corp (também conhecido como DEV-0243, Indrik Spider e UNC2165), LockBit, RansomHub, Dridex e Raspberry Robin (também conhecido como Roshtyak).
“O malware estabelece uma posição inicial nos computadores das vítimas, conhecidos coletivamente como botnet, e é então usado por agentes de ameaças para ataques adicionais com campanhas de ransomware e espionagem”, disse a Divisão Cibernética do Federal Bureau of Investigation (FBI) dos EUA em um post compartilhado no LinkedIn.
Ele é distribuído por meio de sites comprometidos, disfarçando-se de atualizações enganosas para navegadores da web como Google Chrome ou Mozilla Firefox e outros softwares populares. Os operadores do malware foram rastreados sob vários pseudônimos, como Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 e UNC1543.
“As infecções SocGholish normalmente se originam de sites comprometidos que foram infectados de várias maneiras diferentes”, observou Silent Push em uma análise do malware no ano passado. “As infecções de sites podem envolver injeções diretas, onde a entrega de carga útil do SocGholish injeta JS carregado diretamente de uma página infectada ou por meio de uma versão da injeção direta que usa um arquivo JS intermediário para carregar a injeção relacionada.”
Em novembro de 2025, Arctic Wolf revelou que o SocGholish estava sendo usado pelos atores da ameaça RomCom para entregar o Agente Mítico, destacando o uso dos serviços do corretor de acesso inicial por uma ampla gama de atores com motivações variadas.
Sites WordPress comprometidos pelo SocGholish geolocalizados por IP por país
A Orange Cyberdefense disse ter observado infecções SocGholish entregando carregadores como Gholoader (outro carregador baseado em JavaScript) e MintsLoader, que, por sua vez, levam à implantação de cargas adicionais como GhostWeaver, LockBit, AsyncRAT e NetSupport RAT.
“O SocGholish usa um modelo de entrega em camadas e foi observado permitindo múltiplas categorias de cargas úteis subsequentes”, disse a empresa de segurança cibernética, acrescentando que o ator da ameaça também colabora com operadores de sistemas de distribuição de tráfego (TDS) como o TA2726.
TDS é uma tecnologia usada para direcionar os visitantes do site para diferentes destinos com base em diferentes fatores. Isso pode variar de sites de login comprometidos ou falsos que hospedam páginas de phishing a sites falsos que solicitam que os usuários baixem atualizações de software contendo malware, que podem então obter acesso às redes das vítimas para ransomware ou outros golpes financeiros.
“Os cibercriminosos usam o TDS para contornar as regras tradicionais de firewall que, de outra forma, bloqueariam conexões a sites maliciosos e para analisar possíveis vítimas, coletando seu endereço IP, sistema operacional, localização, dispositivo e informações do navegador”, disse o FBI. “Depois de direcionar os usuários para um TDS, muitas vezes por meio de várias técnicas de engenharia social, os cibercriminosos podem explorar os dispositivos dos usuários no final da cadeia de redirecionamento do TDS, entregando páginas de phishing, golpes financeiros e outros malwares”.
Muitas das instâncias comprometidas do WordPress foram modificadas para incluir infraestrutura criminosa operada pela SocGholish, de acordo com a Shadowserver Foundation. A grande maioria dos sites invadidos estava localizada nos EUA, seguidos pela Alemanha, França, Índia, Brasil, Singapura, Itália, Indonésia, Canadá e Vietname.
“O abuso também inclui o uso de um processo conhecido como ‘Domain Shadowing'”, disse a organização sem fins lucrativos. "Esta é uma técnica em que um agente de ameaça obtém acesso ao provedor de DNS oficial ou ao painel de conta do registrador para um domínio legítimo e usa sua conta
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #operação #endgame #interrompe #servidores #socgholish #e #limpa #14.971 #sites #wordpress
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário