Araştırmacılar, ABD genelinde yüzlerce haber web sitesinin okuyucularına kötü amaçlı yazılım dağıtmak için tehlikeye atıldığını söylüyor.
Proofpoint uzmanları bir kötü amaçlı yazılım keşfetti (yeni sekmede açılır) ABD’de çeşitli gazetelere ait yüzlerce web sitesine sahip olan ismi açıklanmayan bir medya şirketini hedef alan dağıtım kampanyası.
İddiaya göre, sitelerin bazıları ulusal, diğerleri New York, Boston, Chicago, Miami, Washington, DC ve diğerlerinden.
Sahte tarayıcı güncellemeleri
Genel olarak, SocGholish JavaScript kötü amaçlı yazılım çerçevesini sunmak için şirkete ait 250’den fazla web sitesi ele geçirildi. Bu siteler, içeriklerini iyi huylu bir JavaScript kodu aracılığıyla okuyucularına sunar. Bu kod, “ilk erişim tehdidi” olarak bilinen ve yazılım güncellemeleri gibi görünen indirmeleri iten şeyi sağlamak için ele geçirildi.
Başka bir deyişle, web sitesi ziyaretçilerinden ZIP arşivleri olarak sunulan sahte tarayıcı güncellemelerini indirmeleri istenir.
“Söz konusu medya şirketi, büyük haber kaynaklarına hem video içeriği hem de reklam sağlayan bir firmadır. [It] Proofpoint Tehdit Araştırma ve Tespit Başkan Yardımcısı Sherrod DeGrippo, Amerika Birleşik Devletleri’nde farklı pazarlarda birçok farklı şirkete hizmet veriyor” dedi. BleeBilgisayar.
Proofpoint bir Twitter gönderisinde, “Proofpoint Threat Research, birçok büyük haber kuruluşuna hizmet veren bir medya şirketine aralıklı enjeksiyonlar gözlemledi. Bu medya şirketi, Javascript aracılığıyla ortaklarına içerik sunuyor,” dedi.
“Aksi takdirde zararsız olan bu JS’nin kod tabanını değiştirerek, şimdi SocGholish’i dağıtmak için kullanılıyor.”
Proofpoint ayrıca SocGholish’in fidye yazılımı enfeksiyonlarını da içerebilecek ikinci aşama saldırıları başlatmak için kullanılabileceğini söyledi. Rusya merkezli kötü şöhretli bir tehdit aktörü olan Evil Corp, benzer kampanyalarda SocGholish’i kullanmasıyla tanındığından, buradaki deneyimden konuşuyor gibi görünüyor. Hatta bir keresinde WastedLocker fidye yazılımını dağıtmaya çalıştı ama Symantec tarafından engellendi.
Bu özel durumda, saldırının TA569 olarak izlenen bir grubun işi olduğu görülüyor.
Araştırmacılar, “Proofpoint, TA569’un iyileştirmeden birkaç gün sonra aynı varlıklara yeniden bulaştığını gözlemlediği için durumun yakından izlenmesi gerekiyor” diye uyardı.
- İşte en iyi güvenlik duvarlarının özeti (yeni sekmede açılır) bugün müsait
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)