SocGholish активизировался 1,5 миллиона заражений за неделю под видом обновлений браузеров

Масштабная кампания киберпреступников с использованием вредоносного ПО SocGholish снова нацелена на пользователей по всему миру. По данным экспертов Intel 471, атакующие активно распространяют вредоносный код через фальшивые обновления браузеров, скрытые в ZIP-файлах, которые можно скачать с скомпрометированных сайтов. Такой подход позволяет обходить многие традиционные меры безопасности и вводить пользователей в заблуждение, маскируя атаку под привычное обновление.

Вредоносные скрипты, встраиваемые в эти сайты, анализируют операционную систему и тип браузера жертвы, после чего принимают решение, показывать ли фальшивую плашку с предложением обновить браузер. Эта адаптивная техника делает атаку более эффективной, так как злоумышленники минимизируют риск быть замеченными на неподходящих устройствах. Как только пользователь скачивает архив и распаковывает его, запускается цепочка заражения, которая может включать установку RAT-троянов, программ-вымогателей и инструментов для удалённого администрирования.

Среди самых популярных инструментов, используемых для распространения SocGholish, можно выделить Cobalt Strike, который даёт киберпреступникам возможность перемещаться по заражённой сети и повышать свои привилегии. Используя метод Domain Shadowing, атакующие взламывают легитимные домены, создавая на них вредоносные поддомены для скрытного распространения вирусов, что ещё больше усложняет обнаружение атаки.

Согласно аналитическим данным, за одну неделю в конце 2024 года было зафиксировано более 1,5 миллиона взаимодействий с вредоносными ресурсами, связанными с SocGholish. Для защиты эксперты рекомендуют внимательно проверять обновления программного обеспечения и использовать современные средства для обнаружения угроз, а организациям — внедрять системы мониторинга для своевременного выявления аномальной активности.