Socgholish, sahte güncellemeleri zorlamak ve kötü amaçlı yazılım sunmak için papağan ve keitaro tds sistemlerinden yararlanır


Socgholish, sahte güncellemeleri zorlamak ve kötü amaçlı yazılım sunmak için papağan ve keitaro tds sistemlerinden yararlanır

Socgholish olarak bilinen sofistike bir kötü amaçlı yazılım operasyonu, şüpheli olmayan kullanıcıların sistemlerini tehlikeye atmak için meşru yazılım güncellemeleri olarak maskelenen İnternet’in en kalıcı ve aldatıcı tehditlerinden biri olarak ortaya çıktı.

Siber suç grubu TA569 tarafından işletilen kötü amaçlı yazılım, basit bir sahte güncelleme çerçevesinden çok sayıda yüksek profilli siber suçlu kuruluş için ilk erişim brokeri olarak hizmet veren karmaşık bir Hizmet Olarak Kötü Yazılım (MAAS) operasyonuna dönüştü.

Socgholish’in birincil saldırı vektörü, Adobe Flash Player ve Microsoft takımları için güncellemeleri taklit etmeye genişlemiş olsa da, özellikle Chrome ve Firefox kullanıcılarını hedefleyen ikna edici sahte tarayıcı güncelleme bildirimlerini sergilemeyi içerir.

Google Haberleri

Operasyon, kritik yazılım güncellemeleri gibi görünen şeyleri yükleme istekliliğinden yararlanarak kullanıcıların güvenlik bilincinden yararlanır ve temel bir güvenlik uygulamasını etkili bir şekilde uzlaşma vektörüne dönüştürür.

Kötü amaçlı yazılım iş modeli, Lockbit, Evil Corp ve gelişmiş kalıcı tehdit organizasyonları gibi kötü şöhretli gruplar da dahil olmak üzere çeşitli tehdit aktörlerine tehlikeye atılan sistemlere erişim satmaya odaklanmaktadır.

Bu ilk erişim broker yaklaşımı, Socgholish’i modern siber suç ekosisteminde kritik bir bileşen haline getirdi ve enfeksiyonlar genellikle fidye yazılımı dağıtımlarına, bilgi hırsızlığına ve uzaktan erişim truva kurulumlarına yol açtı.

Sessiz Push analistleri, Socgholish’in başarısının trafik dağıtım sistemlerini, özellikle de Parrot TDS ve Keitaro TDS’nin sofistike kullanımından kaynaklandığını belirledi, bu da kötü amaçlı yazılımların kurbanları cerrahi hassasiyetle filtrelemesini ve yönlendirmesini sağladı.

Geleneksel olarak meşru çevrimiçi reklamcılıkta kullanılan bu sistemler, güvenlik araştırmacıları ve otomatik analiz sistemleri tarafından algılanırken hedeflenen kötü amaçlı içerik sunmak için silahlandırılmıştır.

Gelişmiş filtreleme ve enfeksiyon mekanizmaları

Kötü amaçlı yazılım, kurban seçimi ve kaçırma tekniklerinde dikkate değer bir sofistike olduğunu gösteren çok katmanlı bir filtreleme sistemi kullanır.

Socgholish, yalnızca meşru hedeflerin kötü amaçlı yükler almasını, WordPress yöneticilerini filtreleme, daha önce enfekte olmuş kullanıcıları ve sanal alan ortamlarını veya mobil cihazları gösterebilecek alışılmadık derecede küçük ekran boyutları kullanan kullanıcıları almasını sağlamak için kapsamlı kontroller uygular.

Enfeksiyon zinciri (kaynak – sessiz itme)

Enfeksiyon süreci, şu şekilde kod snippets tarafından kanıtlandığı gibi, tehlikeye atılan web sitelerinde JavaScript enjeksiyonları ile başlar:-