Os atores de ameaças por trás do malware SocGholish foram observados utilizando Traffic Distribution Systems (TDSs) como Parrot TDS e Keitaro TDS para filtrar e redirecionar usuários desavisados para conteúdos suspeitos.
"O cerne de sua operação é um sofisticado modelo de Malware-as-a-Service (MaaS), onde sistemas infectados são vendidos como pontos de acesso inicial para outras organizações cibercriminosas", disse a Silent Push em uma análise.
SocGholish, também conhecido como FakeUpdates, é um malware loader em JavaScript distribuído via sites comprometidos, sendo disfarçado como atualizações enganosas para navegadores web como Google Chrome ou Mozilla Firefox, bem como outros softwares como Adobe Flash Player ou Microsoft Teams.
Ele é atribuído a um ator de ameaça chamado TA569, que também é acompanhado como Gold Prelude, Mustard Tempest, Purple Vallhund e UNC1543.
As cadeias de ataque envolvem a implantação do SocGholish para estabelecer acesso inicial e intermediar esse acesso ao sistema comprometido para uma clientela diversificada, incluindo Evil Corp (também conhecida como DEV-0243), LockBit, Dridex e Raspberry Robin (também conhecida como Roshtyak).
Curiosamente, campanhas recentes também aproveitaram o Raspberry Robin como um vetor de distribuição para o SocGholish.
"As infecções por SocGholish normalmente se originam de sites comprometidos que foram infectados de várias maneiras", disse a Silent Push.
As infecções de sites podem envolver injeções diretas, onde a entrega de payload do SocGholish injeta JS diretamente carregado de uma página da web infectada ou através de uma versão da injeção direta que usa um arquivo JS intermediário para carregar a injeção relacionada.
Além de redirecionar para domínios do SocGholish através de sites comprometidos, outra fonte primária de tráfego envolve o uso de TDSes de terceiros como Parrot TDS e Keitaro TDS para direcionar o tráfego da web para sites específicos ou para páginas de destino após realizar um extenso fingerprinting do visitante do site e determinar se são de interesse com base em certos critérios pré-definidos.
Keitaro TDS há muito tempo está envolvido em atividades de ameaça que vão além de malvertising e golpes para entregar malwares mais sofisticados, incluindo kits de exploração, loaders, ransomware e operações de influência russa.
No ano passado, a Infoblox revelou como o SocGholish, um parceiro da VexTrio, usou o Keitaro para redirecionar vítimas aos TDSes da VexTrio.
"Como o Keitaro também tem muitas aplicações legítimas, é frequentemente difícil ou impossível simplesmente bloquear o tráfego através do serviço sem gerar falsos positivos excessivos, embora as organizações possam considerar isso em suas próprias políticas", observou a Proofpoint em 2019.
Acredita-se que o Keitaro TDS esteja conectado ao TA2726, que funcionou como um provedor de tráfego tanto para o SocGholish quanto para o TA2727, comprometendo sites e injetando um link do Keitaro TDS e, em seguida, vendendo isso para seus clientes.
"O framework intermediário de C2 [command-and-control] gera dinamicamente payloads que as vítimas baixam em tempo de execução", observou a Silent Push.
"É essencial notar que, em todo o framework de execução, desde a injeção inicial do SocGholish até a execução do implante no Windows no dispositivo, todo o processo é continuamente rastreado pelo framework de C2 do SocGholish.
Se, em algum momento, o framework determinar que uma determinada vítima não é 'legítima', ele interromperá o fornecimento de um payload."
A empresa de cibersegurança também avaliou que possivelmente há ex-membros envolvidos em Dridex, Raspberry Robin e SocGholish, dado o caráter sobreposto das campanhas observadas.
Este desenvolvimento ocorre à medida que a Zscaler detalhou uma versão atualizada do Raspberry Robin que apresenta métodos de ofuscação aprimorados, mudanças em seu processo de comunicação de rede e incorporações apontando para domínios C2 do TOR intencionalmente corrompidos, sinalizando esforços contínuos para evitar detecção e dificultar os esforços de engenharia reversa.
"O algoritmo de criptografia de rede mudou de AES (modo CTR) para Chacha-20", disse a empresa.
O Raspberry Robin adicionou um novo exploit de escalonamento de privilégio local (LPE) (
CVE-2024-38196
) para obter privilégios elevados nos sistemas alvo.
A divulgação segue também uma evolução dos ataques do DarkCloud Stealer que empregam e-mails de phishing para entregar uma versão do payload do stealer protegida por ConfuserEx escrita em Visual Basic 6, que é lançada e executada usando uma técnica chamada process hollowing.
"O DarkCloud Stealer é típico de uma evolução nas ciberameaças, alavancando técnicas de ofuscação e estruturas de payload intricadas para evadir mecanismos tradicionais de detecção", disse a Unit 42.
A mudança nos métodos de entrega observada em abril de 2025 indica uma estratégia de evasão em evolução.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...