Tổng quan về SocGholish:
- Phương pháp lây lan: SocGholish chủ yếu lây lan thông qua các trang web hợp pháp bị xâm phạm. Các kẻ tấn công chèn các tập lệnh độc hại vào những trang này, khiến người dùng được chuyển hướng đến các thông báo cập nhật trình duyệt giả. Người dùng bị lừa tải xuống một tệp ZIP chứa một tệp JavaScript, đó là bộ tải SocGholish.
- Kỹ thuật né tránh: Bộ tải SocGholish được mã hóa cao, sử dụng nhiều kỹ thuật né tránh để vượt qua các phương pháp phát hiện truyền thống. Điều này khiến cho các hệ thống bảo mật khó phát hiện và chặn malware.
- Giao hàng payload: Khi bộ tải được thực thi, nó có thể tải xuống và thực thi các payload độc hại, lấy cắp dữ liệu nhạy cảm, và thực hiện các lệnh tùy ý. Điều này cung cấp quyền truy cập liên tục để khai thác thêm và triển khai payload.
- Sự hợp tác với TDS: SocGholish hợp tác với các kẻ tấn công vận hành các instance TDS Keitaro giả mạo để phân phối payload. Những instance TDS này lọc lưu lượng không mong muốn từ các sandbox và nhà nghiên cứu, đảm bảo rằng malware đến được mục tiêu dự định.
- Triển khai ransomware: Bộ xâm nhập SocGholish là một phần của cụm Water Scylla, dẫn đến việc triển khai ransomware RansomHub. RansomHub là một trong những ransomware hàng đầu, và SocGholish là một yếu tố chính trong các cuộc tấn công này.
Để biết thêm thông tin chi tiết, bạn có thể tham khảo nghiên cứu của Trend Micro về SocGholish và vai trò của nó trong việc triển khai ransomware RansomHub.
