Gli autori delle minacce informatiche RansomHub hanno trovato un nuovo modo per distribuire il loro ransomware e lo stanno utilizzando per colpire entità governative statunitensi.
Secondo Trend Micro, la prolifica gang di ransomware sta usando SocGholish, un’operazione malware-as-a-service di lunga data nota anche come FakeUpdates, per facilitare i suoi attacchi. RansomHub è emerso all’inizio del 2024 e da allora ha accumulato più di 200 vittime, rivendicando la responsabilità di attacchi degni di nota contro Change Healthcare e Rite Aid.
In un post del blog di venerdì, i ricercatori di Trend Micro hanno delineato come il framework SocGholish stia diffondendo il ransomware RansomHub in una catena di attacchi multifase che comprende migliaia di siti web compromessi. “Dall’inizio del 2025, i rilevamenti di SocGholish sono stati più alti negli Stati Uniti, con le organizzazioni governative tra le più colpite”, hanno scritto i ricercatori, aggiungendo che anche le organizzazioni bancarie e di consulenza sono state pesantemente prese di mira.
Fin dalla sua prima comparsa nel 2018, il biglietto da visita di SocGholish è stato l’uso di falsi aggiornamenti di browser e software per indurre gli utenti a scaricare contenuti dannosi. “SocGholish è caratterizzato dal suo caricatore JavaScript altamente offuscato, che impiega una serie di tecniche di evasione che gli consentono di aggirare efficacemente i tradizionali metodi di rilevamento basati sulle firme”, hanno scritto i ricercatori.
Per infettare gli utenti, gli operatori di SocGholish utilizzano una rete di siti Web legittimi che sono stati precedentemente compromessi con uno script dannoso che dirotta il traffico Web. Quando gli utenti visitano questi siti, SocGholish li reindirizza utilizzando Keitaro, un sistema di distribuzione del traffico commerciale (TDS) con sede in Estonia che è stato a lungo associato a SocGholish e ad altre attività dannose.
Aggiornamenti falsi del browser
Gli autori della minaccia utilizzano istanze “rogue” di Keitaro per inviare utenti ignari a falsi aggiornamenti del browser contenenti malware SocGholish e per filtrare “il traffico indesiderato da sandbox e ricercatori”. Una volta che gli utenti fanno clic sui falsi aggiornamenti, gli autori della minaccia installano il caricatore JavaScript offuscato e iniziano a distribuire payload aggiuntivi.
Negli attacchi RansomHub, gli autori delle minacce SocGholish distribuiscono componenti backdoor basati su Python che forniscono l’accesso iniziale agli affiliati di RansomHub. La backdoor stabilisce una connessione hardcoded a un server di comando e controllo (C2) che gli autori delle minacce possono utilizzare per esfiltrare dati sensibili dalle reti delle vittime.
I ricercatori di Trend Micro hanno affermato che SocGholish utilizza anche la rete di siti Web compromessi per scopi C2, utilizzando una tecnica chiamata “domain shadowing”. Una volta che gli attori della minaccia compromettono un sito Web, possono stabilire nuovi sottodomini per attività dannose, che non verranno bloccati dai prodotti di sicurezza perché sono associati a siti Web legittimi.
Nessun commento:
Posta un commento