Laut dem Cybersicherheitsunternehmen Proofpoint hat eine cyberkriminelle Gruppe einen Anbieter von Medieninhalten kompromittiert, um Malware auf den Websites von Hunderten von Nachrichtenagenturen in den USA einzusetzen.
Die von Proofpoint als „TA569“ verfolgten Bedrohungsakteure haben die Medienorganisation kompromittiert, um SocGholish zu verbreiten, eine benutzerdefinierte Malware, die mindestens seit 2018 aktiv ist.
Das betreffende Medienunternehmen wird nicht genannt, wurde aber benachrichtigt und soll Ermittlungen aufnehmen. Sherrod DeGrippo, Vizepräsident für Bedrohungsforschung und -erkennung bei Proofpoint, sagt gegenüber Tech, dass die Organisation „sowohl Videoinhalte als auch Werbung für große Nachrichtenagenturen bereitstellt“. DeGrippo fügte hinzu, dass 250 nationale US-Zeitungsseiten und regionale Websites betroffen seien, darunter Medienorganisationen, die Boston, Chicago, Cincinnati, Miami, New York, Palm Beach und Washington, DC bedienen
Es ist unklar, wie das unbenannte Medienunternehmen kompromittiert wurde, aber DeGrippo fügte hinzu, dass TA569 „eine nachgewiesene Geschichte der Kompromittierung von Content-Management-Systemen und Hosting-Konten hat“.
Nachrichten über die Entführungen der Website waren die ersten raus getwittert Mittwoch.
Die SocGholish-Malware wird in eine gutartige JavaScript-Datei eingeschleust, die von den Websites der Nachrichtenagenturen geladen wird, wodurch der Website-Besucher aufgefordert wird, ein gefälschtes Software-Update herunterzuladen. In dieser Kampagne erfolgt die Aufforderung in Form eines Browser-Updates für Chrome, Firefox, Internet Explorer, Edge oder Opera.
„Wenn das Opfer dieses „Fakeupdate“ herunterlädt und ausführt, wird es mit der SocGholish-Payload infiziert“, sagte DeGrippo. „Diese Angriffskette erfordert eine Interaktion des Endbenutzers an zwei Punkten: Akzeptieren des Downloads und Ausführen der Payload.“
SocGholish dient als „Anfangszugriffsbedrohung“, die laut Proofpoint, wenn sie erfolgreich platziert wurde, in der Vergangenheit als Vorläufer von Ransomware gedient hat. Das Endziel der Bedrohungsakteure, so das Unternehmen, sei finanzieller Gewinn.
Proofpoint teilt Tech mit, dass es „mit großer Zuversicht einschätzt“, dass TA569 mit WastedLocker in Verbindung gebracht wird, einer Variante von Ransomware, die von der von den USA sanktionierten Evil Corp-Gruppe entwickelt wurde. Das Unternehmen fügte hinzu, dass es nicht glaubt, dass TA569 Evil Corp ist, sondern eher als Vermittler von bereits kompromittierten Geräten für die Hacking-Gruppe fungiert.
Anfang dieses Jahres wurde bekannt, dass Evil Corp ein Ransomware-as-a-Service-Modell verwendet, um US-Sanktionen zu umgehen. Die Bande wurde im Dezember 2019 wegen ihrer umfangreichen Entwicklung von Dridex-Malware sanktioniert, mit der die Bande mehr als 100 Millionen US-Dollar von Hunderten von Banken und Finanzinstituten gestohlen hat.