SocGholish выдает себя за обновления браузера, Flash и Microsoft Teams, обманом заставляя пользователей запускать вредоносные ZIP-файлы.
Исследователи безопасности из Menlo Labs сообщили о росте числа так называемых атак drive-by (загрузка без ведома пользователя) с использованием высокоактивной структуры, получившей название SocGholish за широкое использование инструментов и методов социальной инженерии.
Фреймворк SocGholish выдает себя за легитимные обновления браузера, Flash и Microsoft Teams, чтобы обманом заставить пользователей запускать вредоносные ZIP-файлы. Преступники распространяют вредоносные загрузки, используя iFrame для обслуживания взломанных web-сайтов через легитимный ресурс.
«Поскольку файл размещен в iFrame на легитимном сайте, пользователи ошибочно полагают, что файл исходит от легитимного источника, и им предлагается загрузить и запустить файл», — сообщили эксперты.
Механизмы атак drive-by, используемые SocGholish, не включают в себя эксплоиты браузера, но вместо этого он использует три основных метода. Первый заключается в использовании атак типа watering hole (заражение часто посещаемых сайтов) путем установки iFrame на сайты с относительно высоким расположением в рейтинге Alexa и дальнейшего перенаправления пользователей через общие службы облачного хостинга к вредоносному ZIP-файлу.
Второй метод заключается во взломе сайтов, размещенных в системах управления контентом, таких как WordPress, для встраивания iFrames, которые используют большие двоичные объекты JavaScript для запуска загрузки.
Третий метод SocGholish заключается в использовании sites.google.com и JavaScript с целью динамического создания элемента ссылки для загрузки, указывающего на ZIP-файл на легитимном Google Диске.
SocGholish используется для получения начального доступа к конечным точкам, в частности, для распространения банковского трояна Dridex и вымогателя WastedLocker.