Сотни новостных сайтов США взломаны для рассылки вредоносного ПО
3 ноября 2022 г.По словам исследователей, сотни новостных веб-сайтов в США были скомпрометированы, чтобы доставлять вредоносное ПО своим читателям.
Эксперты из Proofpoint обнаружили кампанию по распространению вредоносного ПО, нацеленную неназванная медиа-компания в США, которой принадлежат сотни веб-сайтов, принадлежащих различным газетам.
Предположительно, некоторые из сайтов являются национальными, другие — из Нью-Йорка, Бостона, Чикаго, Майами, Вашингтона, округ Колумбия, и других.
Поддельные обновления браузера
В целом более 250 веб-сайтов, принадлежащих компании, были взломаны для распространения вредоносного ПО SocGholish JavaScript. Эти сайты доставляют свой контент читателям с помощью безопасного кода JavaScript. Этот код был взломан, чтобы доставить так называемую «угрозу начального доступа», которая запускает пошаговые загрузки, выдаваемые за обновления программного обеспечения.
Другими словами, посетителям веб-сайта будет предложено загрузить поддельный обновления браузера доставляются в виде ZIP-архивов.
"Упомянутая медиакомпания — это фирма, которая предоставляет как видеоконтент, так и рекламу в крупных новостных агентствах. [Он] обслуживает множество разных компаний на разных рынках по всей территории Соединенных Штатов", — сказал BleepingComputer Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Proofpoint.
«Proofpoint Threat Research наблюдал периодические инъекции в медиа-компанию, которая обслуживает многие крупные новостные агентства. Эта медиа-компания предоставляет своим партнерам контент через Javascript», — говорится в сообщении Proofpoint в Twitter.
"Изменив кодовую базу этого в остальном безопасного JS, теперь он используется для развертывания SocGholish".
Proofpoint также сообщает, что SocGholish можно использовать для запуска атак второго этапа, которые могут включать программы-вымогатели. Кажется, здесь все основано на опыте, поскольку Evil Corp, печально известная российская организация, занимающаяся угрозами, известна тем, что использует SocGholish в подобных кампаниях. Однажды она даже пыталась развернуть свою программу-вымогатель WastedLocker, но Symantec помешала ей.
В этой конкретной ситуации кажется, что атака является работой группы, отслеживаемой как TA569.
"Ситуация требует тщательного наблюдения, поскольку компания Proofpoint обнаружила, что TA569 повторно заражает те же активы всего через несколько дней после восстановления», — предупреждают исследователи.
- Вот наш краткий обзор лучших брандмауэров, доступных на сегодняшний день
Через: BleepingComputer
Оригинал