Исследователи Proofpoint обнаружили новую кампанию , в ходе которой злоумышленники используют скомпрометированную инфраструктуру американской медиакомпании для развертывания фреймворка SocGholish
(также известного как FakeUpdates ) на веб-сайтах новостных изданий США.
Неназванная медиакомпания предоставляет видеоконтент и рекламу крупным новостным агентствам. Фирма обслуживает множество различных компаний в США.
Злоумышленник, отслеживаемый Proofpoint как TA569, внедрил вредоносный код в безопасный JavaScript-файл, который загружается веб-сайтами новостных агентств. Этот вредоносный файл используется для установки SocGholish.
Фреймворк SocGholish заражает посетителей взломанного сайта вредоносными программами, замаскированными под поддельные обновления браузера, поставляемые в виде ZIP-архивов (например, Chromе.Uрdatе.zip) через поддельные уведомления об обновлениях.
Вредоносное ПО было установлено на сайтах более 250 новостных агентств США, некоторые из них являются крупными новостными изданиями. Хотя общее количество затронутых изданий в настоящее время неизвестно, Proofpoint заявляет, что знает о пострадавших СМИ из Нью-Йорка, Бостона, Чикаго, Майами, Вашингтона, округ Колумбия, и других стран.
По словам экспертов, ситуацию необходимо внимательно отслеживать, поскольку TA569 повторно заражает одни и те же объекты через несколько дней после их исправления.
Ранее была обнаружена кампания по доставке программы-вымогателя Magniber, использующая поддельные обновления Windows . Загруженные вредоносные ZIP-архивы содержат JavaScript-файлы, которые инициируют заражение вредоносным ПО.
Источник: SecurityLab