O SocGholish, operado pelo grupo de agentes de ameaças TA569, solidificou seu papel como um proeminente provedor de Malware-as-a-Service (MaaS), funcionando como um Initial Access Broker (IAB) que vende acesso comprometido ao sistema para vários clientes cibercriminosos.
Desde o seu surgimento por volta de 2017-2018, essa família de malware, também conhecida como FakeUpdates, empregou principalmente iscas falsas enganosas de atualização do navegador para iniciar downloads drive-by.
Essas iscas geralmente resultam de injeções de JavaScript em sites comprometidos, explorando a confiança dos usuários em atualizações de software de rotina para navegadores como Chrome ou Firefox, bem como aplicativos como Adobe Flash Player ou Microsoft Teams.
Evolução das táticas do TA569 no cibercrime
A infraestrutura sofisticada do TA569 aproveita os Sistemas de Distribuição de Tráfego (TDSs) como Parrot TDS e Keitaro TDS para filtrar e redirecionar as vítimas com base em impressões digitais detalhadas, incluindo endereços IP, tipos de navegador e configurações de dispositivos, garantindo a entrega direcionada de cargas maliciosas enquanto evita a detecção.
Essa abordagem não apenas maximiza o valor das infecções, priorizando alvos de alto valor, mas também oferece suporte a um ecossistema de crimes cibernéticos mais amplo, onde o acesso é intermediado para grupos que implantam ransomware, ladrões de informações e Trojans de acesso remoto (RATs).paste.txt
A cadeia de infecção começa com sites comprometidos injetando JavaScript malicioso, geralmente roteado por meio do Parrot TDS ou Keitaro TDS, que executam perfis extensivos da vítima para direcionar o tráfego para páginas de atualização falsas.
O Parrot TDS, identificado em 2022, usa injeções e proxies JavaScript exclusivos para carregar conteúdo malicioso, enquanto o Keitaro TDS, comercializado como uma ferramenta de publicidade legítima pela Apliteni, com sede em Delaware, mas com notáveis laços russos, foi implicado em campanhas de desinformação e operações complexas de ameaças.
Uma vez envolvidas, as vítimas encontram interfaces de atualização falsas geradas dinamicamente que imitam prompts de software legítimos, levando ao download de um agente específico do Windows, normalmente disfarçado como um arquivo .js ou .zip com nomes como “LatestVersion.js” ou “UpdateInstaller.zip”.
De acordo com o SilentPush relatório, esse agente se comunica com servidores de comando e controle (C2) por meio de caminhos ofuscados, empregando sombreamento de domínio e rotação frequente de domínio para manter a persistência e dificultar o rastreamento.
Mecanismos avançados de filtragem, como detecção de movimento do mouse e vinculação de IP, garantem ainda mais que apenas vítimas legítimas recebam cargas úteis, potencialmente descartando pesquisadores ou systems.paste.txt automatizados
Conexões com atores cibernéticos russos
O ecossistema do SocGholish se estende a clientes notórios como a Evil Corp (DEV-0243), que usa infecções para implantações de ransomware, incluindo LockBit, e ameaças emergentes como MintsLoader para fornecer RATs e infostealers.
As conexões com a Unidade GRU 29155 da Rússia via Raspberry Robin destacam possíveis elementos patrocinados pelo Estado, com sobreposições no código e nas táticas sugerindo redes colaborativas de crimes cibernéticos.
A mitigação requer inteligência proativa de ameaças, como o bloqueio de feeds de Indicadores de Ataque Futuro (IOFA) direcionados a domínios SocGholish e infrastructure.paste.txt associados
Indicador de Comprometimento (IoCs)
| Tipo de indicador | Exemplo de IOCspaste. Txt |
|---|---|
| Domínios | docs.nynovation.com download.romeropizza.com publication.garyjobeferguson.com images.therunningink.com trust.scriptobject.com source.scriptsafedata.com mgmt.studerandson.us virtual.urban-orthodontics.com billing.roofnrack.us customer.thewayofmoney.us searchgear.pro rapiddevapi.com cp.envisionfonddulac.biz |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixar for Livre