СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.02.2025
#ИБ#Инфра

Угрозы SocGholish: Многоуровневая атака на данные пользователей

Угрозы SocGholish: Многоуровневая атака на данные пользователей

Вредоносная программа SocGholish, известная также как FakeUpdates, представляет собой одну из самых сложных угроз в сфере кибербезопасности. Она использует хитроумную цепочку заражения, которая начинается с поддельных запросов на обновление браузера. Эти запросы появляются на скомпрометированных веб-сайтах, что делает их особенно опасными для неподготовленных пользователей.

Цепочка заражения

Процесс заражения включает несколько этапов:

  • Загрузка вредоносного файла JavaScript.
  • Извлечение обфусцированной полезной нагрузки MintsLoader.
  • Запуск обфусцированного бэкдора PowerShell под названием GhostWeaver.

Функции бэкдора GhostWeaver

GhostWeaver устанавливает постоянную связь с сервером управления (C2) и может выполнять множество вредоносных задач, включая:

  • Генерацию доменов с использованием алгоритма с фиксированным исходным кодом.
  • Удаленную доставку полезной нагрузки с помощью команд PowerShell.
  • Кражу конфиденциальной информации, нацеливаясь на учетные данные в популярных браузерах.

Одной из ключевых особенностей GhostWeaver является возможность обхода проверки сертификата. Бэкдор всегда возвращает значение true через RemoteCertificateValidationCallback, что позволяет использовать непроверенные SSL/TLS-соединения и упрощает передачу данных и команд на сервер C2.

Методы атаки и распространение

Хакер, ответственный за SocGholish, использует псевдонимы, такие как GOLD PRELUDE и TA569. Этот вредонос подключен к различным механизмам доставки полезной нагрузки, включая NetSupport RAT и дополнительные плагины infostealer и form-grabber.

Этот процесс заражения нередко сопровождается кириллическими символами в названиях ZIP-файлов и JavaScript-файлов, что может указывать на происхождение хакеров и их предпочтения.

Расширенное функциональное обеспечение

GhostWeaver поддерживает систему подключаемых модулей, что позволяет загружать дополнительные возможности в память и поддерживать долгосрочную связь с сервером C2. К важнейшим плагинам относятся:

  • Juniper Stealer — для обработки данных криптовалютных кошельков.
  • Formgrabber — для сбора учетных данных пользователей.

Это может включать как аутентификацию с помощью взаимных проверок, так и манипулирование отпечатками пальцев JA3 для обхода системы безопасности. Juniper Stealer использует различные методы для извлечения файлов cookie браузера и расшифровки сохраненных данных, что подчеркивает сложность атакующих операций.

Заключение

Компоненты, входящие в состав SocGholish, говорят о наличии финансово мотивированной хакерской группы, использующей более слабые системы безопасности. Их целенаправленность на получение прибыли через незаконный доступ к личным данным продолжает представлять серьезную угрозу для пользователей и организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: