Agências internacionais de aplicação da lei limparam quase 15.000 sites WordPress infectados por malware e derrubaram mais de 100 servidores ligados à botnet SocGholish e ao grupo russo de cibercrime Evil Corp.
A ação conjunta, apoiada pela Europol e pela Eurojust, fez parte da Operação Endgame, uma grande ofensiva policial agora voltada a interromper uma cadeia de infecção considerada central para a atuação da Evil Corp.
Autoridades da Holanda, por meio da NHCTU, do Canadá, com a RCMP, dos Estados Unidos, com o FBI, e da Alemanha, com o BKA, removeram infecções do malware SocGholish de 14.971 sites WordPress comprometidos e tiraram do ar 106 servidores e domínios.
Além de eliminar o malware e backdoors dos sites infectados, a polícia holandesa orientou os responsáveis pelas páginas a trocar suas credenciais, ativar a autenticação multifator, excluir qualquer conta desconhecida no WordPress e manter o site sempre atualizado.
“Com essas ações, privamos os cibercriminosos do acesso a sistemas de computador infectados.
Isso impede novos danos aos sistemas digitais de cidadãos, empresas e organizações em todo o mundo e limita a propagação do malware”, afirmou Maikel Rollman, da Unidade Nacional de Crimes de Alta Tecnologia da Holanda.
“Isso também reduz o risco de que esses sistemas sejam usados em ciberataques contra infraestrutura crítica e outros processos essenciais da sociedade.
Este é o início de novas ações contra o SocGholish.”
O malware SocGholish, baseado em JavaScript e também conhecido como FakeUpdates e GhoLoader, é usado em ataques pelo menos desde 2017.
Ele sequestra sites legítimos, principalmente páginas WordPress, e engana visitantes para que baixem payloads maliciosos, geralmente disfarçados de falsas atualizações do navegador.
Quando o usuário instala a atualização maliciosa, o malware abre uma conexão com os atacantes e entrega acesso ao sistema infectado.
O SocGholish também já foi usado para distribuir outras famílias de malware, incluindo Dridex, Doppelpaymer, Empire, Koadic, Chtonic e Azorult.
O malware já havia sido associado à Evil Corp, uma gangue russa de cibercrime ativa desde 2007 e ligada às famílias de malware Zeus e Dridex, além de ter sido responsável pelas operações de ransomware WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...