SocGholish Malware Spread via Ad Tools; Delivers Access to LockBit, Evil Corp, and Others

SocGholish : Un Chargeur JavaScript Sophistiqué au Service de Cybercriminels

Le malware SocGholish, également connu sous le nom de FakeUpdates, est un chargeur JavaScript utilisé pour obtenir un accès initial aux systèmes compromis. Il est distribué via des sites web piratés, se faisant passer pour des mises à jour légitimes de navigateurs web (Chrome, Firefox) ou d’autres logiciels (Adobe Flash Player, Microsoft Teams). L’acteur de menace derrière SocGholish est identifié comme TA569 (également connu sous les noms de Gold Prelude, Mustard Tempest, Purple Vallhund, et UNC1543).

Le modèle économique de SocGholish repose sur le principe du Malware-as-a-Service (MaaS), où les systèmes infectés sont vendus comme points d’accès initiaux à d’autres groupes de cybercriminels. Parmi ses clients notables, on retrouve des acteurs comme Evil Corp (DEV-0243), LockBit, Dridex, et Raspberry Robin (Roshtyak). Il est également à noter que des campagnes récentes ont vu Raspberry Robin utilisé comme vecteur de distribution pour SocGholish.

La diffusion de SocGholish s’appuie sur des systèmes de distribution de trafic (TDS) tels que Parrot TDS et Keitaro TDS. Ces systèmes filtrent et redirigent les utilisateurs vers des contenus malveillants après avoir collecté des informations sur les visiteurs pour déterminer leur “légitimité” selon des critères prédéfinis. Keitaro TDS est connu pour son implication dans la livraison de divers types de malwares, y compris des kits d’exploitation, des chargeurs, des ransomwares et des opérations d’influence russes. Il est également associé à l’acteur TA2726, qui agit comme fournisseur de trafic pour SocGholish et TA2727 en compromettant des sites web et en y injectant des liens Keitaro TDS.

L’ensemble du processus d’infection, depuis l’injection initiale de SocGholish jusqu’à l’exécution de l’implant Windows, est suivi par le cadre de commande et de contrôle (C2) de SocGholish. Si une victime est jugée non “légitime” à n’importe quel stade, la distribution de la charge utile est stoppée.

Des recoupements dans les campagnes observées suggèrent un lien potentiel entre d’anciens membres impliqués dans Dridex, Raspberry Robin et SocGholish.

Points Clés :

• Type de Malware : Chargeur JavaScript (SocGholish / FakeUpdates).
• Distribution : Sites web compromis, se faisant passer pour des mises à jour logicielles.
• Modèle Opérationnel : Malware-as-a-Service (MaaS) pour la vente d’accès initiaux.
• Acteur de Menace : TA569 et ses alias (Gold Prelude, Mustard Tempest, etc.).
• Clients Notables : Evil Corp, LockBit, Dridex, Raspberry Robin.
• Technologie de Diffusion : Systèmes de Distribution de Trafic (TDS) comme Parrot TDS et Keitaro TDS.
• Mécanisme de Protection : Suivi et filtrage des victimes par le cadre C2 de SocGholish.

Vulnérabilités :

• CVE-2024-38196 : Mentionnée comme un exploit d’escalade de privilèges locaux utilisé par Raspberry Robin, mais pas directement attribuée à SocGholish dans cet article.

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes spécifiques aux utilisateurs, les informations impliquent la nécessité de :

• Vigilance accrue : Être prudent face aux demandes de mise à jour logicielle ou aux liens suspects provenant de sources inconnues ou de sites web potentiellement compromis.
• Solutions de sécurité robustes : Utiliser des logiciels antivirus et anti-malware à jour et des solutions de sécurité réseau capables de détecter et bloquer les communications malveillantes.
• Gestion des accès : Limiter les privilèges des utilisateurs sur les systèmes pour réduire l’impact d’une compromission initiale.
• Surveillance du trafic réseau : Mettre en place des mécanismes de surveillance pour détecter les schémas de trafic suspects, y compris ceux potentiellement générés par des TDS.

Source