Il malware SocGholish, noto anche come FakeUpdates, rappresenta una crescente minaccia nel panorama della cybersecurity, grazie all’utilizzo di sofisticati sistemi di distribuzione del traffico (TDS) come Parrot TDS e Keitaro TDS. Questi strumenti consentono ai cybercriminali di filtrare e reindirizzare gli utenti verso contenuti dannosi, spesso mascherati da aggiornamenti falsi per browser web come Google Chrome, Mozilla Firefox o software popolari quali Adobe Flash Player e Microsoft Teams.
L’infrastruttura dietro SocGholish si basa su un modello Malware-as-a-Service (MaaS), in cui i sistemi infetti vengono venduti come punti di accesso iniziali ad altre organizzazioni criminali. Questo modello ha permesso a gruppi noti come Evil Corp, LockBit, Dridex e Raspberry Robin di sfruttare l’accesso fornito da SocGholish per le proprie campagne malevole. L’attacco avviene generalmente tramite siti web compromessi, dove il codice malevolo viene iniettato direttamente, oppure attraverso file JavaScript intermedi che facilitano l’infezione.
Distribuzione tramite TDS
Oltre alla compromissione diretta dei siti, SocGholish sfrutta anche TDS di terze parti, come Parrot TDS e Keitaro TDS, per indirizzare il traffico verso landing page dannose. Questi sistemi analizzano il profilo dei visitatori e decidono se servire il payload malevolo in base a criteri specifici, aumentando l’efficacia e la difficoltà di rilevamento. In particolare, Keitaro TDS si distingue per la sua duplice natura: è utilizzato anche per scopi legittimi, rendendo complesso il blocco del traffico da parte delle organizzazioni senza il rischio di falsi positivi.
Catena di esecuzione e monitoraggio
La catena di esecuzione di SocGholish è attentamente monitorata attraverso infrastrutture di comando e controllo che generano dinamicamente i payload da scaricare. Se la piattaforma rileva che la vittima non è di interesse, il processo di infezione viene interrotto, dimostrando un alto livello di selettività e sofisticazione.
Collaborazioni e nuove varianti
Recenti campagne hanno evidenziato anche una collaborazione tra SocGholish, Dridex e Raspberry Robin, con operatori che condividono infrastrutture e tecniche per massimizzare la diffusione e la resilienza delle minacce. Inoltre, nuove varianti di malware come DarkCloud Stealer mostrano un’evoluzione nelle strategie di evasione, utilizzando tecniche di offuscamento e payload complessi per sfuggire ai controlli tradizionali.
La diffusione di SocGholish tramite strumenti pubblicitari e TDS rappresenta una sfida costante per la sicurezza informatica, sottolineando l’importanza di monitorare i siti web, aggiornare regolarmente i software e adottare soluzioni di difesa avanzate contro questa tipologia di attacchi.