Nel mondo della sicurezza informatica, SocGholish è noto per essere un malware downloader particolarmente insidioso. Questo malware, attivo dal 2018, utilizza JavaScript (JS) dannosi iniettati in siti web compromessi per diffondersi e scaricare ulteriori minacce, tra cui il noto trojan di accesso remoto (RAT) chiamato AsyncRAT.
Come funziona SocGholish
SocGholish si diffonde principalmente attraverso download drive-by su siti web compromessi. Quando un utente visita uno di questi siti, il JavaScript malevolo viene eseguito durante il caricamento della pagina, tentando di ingannare l’utente con un falso aggiornamento browser. Una volta installato, il malware può scaricare vari altri tipi di malware.
La campagna individuata da Huntress
A differenza di ciò che accade solitamente, in questo caso particolare, il downloader JS avvia due catene d’infezione disgiunte, una delle quali porta ad una variante fileless di AsyncRAT e l’altra all’installazione di una versione malevola dellapplicazione BOINC (Berkeley Open Infrastructure Network Computing Client).
AsyncRAT, un trojan di accesso remoto
AsyncRAT è un trojan di accesso remoto che consente agli attaccanti di controllare da remoto i computer infetti. Questo malware può essere utilizzato per rubare informazioni sensibili, registrare le attività dell’utente, catturare schermate. La combinazione di SocGholish e AsyncRAT rappresenta una minaccia significativa per la sicurezza delle informazioni.
BOINC
BOINC è un software open source, nato da un progetto di computing volontario dell’Università della California Berkeley.
“BOINC ti consente di aiutare la ricerca scientifica all’avanguardia usando il tuo computer. L’app BOINC, in esecuzione sul tuo computer, scarica i lavori di calcolo scientifico e li esegue in modo invisibile in background. È facile e sicuro.“, si legge nella pagina ufficiale.
In pratica BOINC facilita la connessione a un server remoto che può raccogliere informazioni e inviare attività all’host per l’esecuzione. Ma le versioni malevole di BOINC, scoperte dal team Huntress, non sono configurate per connettersi ad uno dei server BOINC legittimi, ma ad un server C2 presidiato dagli attori della minaccia. Non avendo osservato alcuna attività da parte degli host infetti, Huntress ipotizza che tali infezioni potrebbero essere state create per essere vendute come vettori di accesso iniziali ad attori ransomware.
Tecniche di offuscamento e shadowing
Gli attaccanti che utilizzano SocGholish impiegano tecniche avanzate di offuscamento per nascondere il codice maligno e rendere più difficile la rilevazione del malware. Inoltre, utilizzano lo shadowing di dominio, una tecnica che consente di utilizzare domini legittimi compromessi per ospitare il malware, rendendo ancora più difficile la sua individuazione.
Impatto e conseguenze
Le infezioni da SocGholish e AsyncRAT possono avere gravi conseguenze per le organizzazioni. Oltre a scaricare ulteriori malware, SocGholish può essere utilizzato come punto di ingresso per attacchi ransomware, causando interruzioni significative delle operazioni aziendali e perdite finanziarie. È noto che SocGholish abbia legami con gruppi di criminalità informatica come Evil Corp, noti per attacchi ransomware di alto profilo.
Come proteggersi
SocGholish e AsyncRAT rappresentano una minaccia significativa per la sicurezza informatica, ma con le giuste misure di prevenzione e consapevolezza, è possibile ridurre il rischio di infezione. Per proteggersi è fondamentale adottare alcune best practice di sicurezza:
- Educazione degli utenti: Informare gli utenti sui rischi dei falsi aggiornamenti del browser e su come riconoscerli.
- Aggiornamenti regolari: Mantenere aggiornati tutti i software e i sistemi operativi per ridurre le vulnerabilità.
- Soluzioni di sicurezza: Utilizzare soluzioni di sicurezza avanzate che includano rilevamento e prevenzione delle minacce.