Una delle più importanti operazioni internazionali contro il cybercrime degli ultimi anni ha colpito duramente l’infrastruttura di SocGholish, il malware noto anche come FakeUpdates o GhoLoader utilizzato per compromettere migliaia di siti WordPress e distribuire successivamente ransomware, trojan bancari e strumenti di accesso remoto. Nell’ambito di Operation Endgame, le autorità di diversi Paesi hanno rimosso il codice malevolo da 14.971 siti WordPress compromessi e hanno disattivato 106 server e domini utilizzati dagli attaccanti. L’operazione rappresenta uno dei più significativi interventi mai realizzati contro l’ecosistema criminale associato al gruppo russo Evil Corp, organizzazione responsabile negli anni della diffusione di malware come Zeus, Dridex, WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker. Il successo dell’iniziativa dimostra come la cooperazione internazionale tra forze dell’ordine, magistratura e aziende di cybersecurity possa colpire infrastrutture criminali che operano da anni su scala globale.
Cosa leggere
Operation Endgame colpisce quasi 15.000 siti WordPress
L’operazione è stata coordinata dalla National High Tech Crime Unit dei Paesi Bassi con il supporto della Royal Canadian Mounted Police, dell’FBI, del BKA tedesco, di Europol e di Eurojust. Gli investigatori hanno identificato e ripulito 14.971 siti WordPress che ospitavano codice malevolo riconducibile a SocGholish. Parallelamente sono stati sequestrati o disattivati 106 server e domini utilizzati come infrastruttura di supporto alla campagna malware. L’intervento non si è limitato alla semplice rimozione del codice JavaScript malevolo. Le autorità hanno infatti eliminato anche i backdoor installati dagli attaccanti e notificato direttamente i proprietari dei siti coinvolti, fornendo indicazioni operative per ripristinare la sicurezza delle piattaforme compromesse. L’operazione rappresenta una delle più ampie attività di bonifica mai realizzate su siti WordPress utilizzati come vettori di distribuzione malware.
Come funziona il malware SocGholish
SocGholish è attivo almeno dal 2017 e si è affermato come uno dei più efficaci sistemi di distribuzione malware basati sul web. A differenza di ransomware o infostealer che infettano direttamente il dispositivo finale, SocGholish opera come downloader JavaScript. Gli attaccanti compromettono siti web legittimi, principalmente basati su WordPress, e iniettano codice capace di modificare il comportamento delle pagine visitate dagli utenti. Quando una vittima accede al sito compromesso, viene visualizzato un falso avviso che simula un aggiornamento del browser, di Google Chrome, Microsoft Edge, Firefox o di altri software comunemente utilizzati. L’utente viene quindi indotto a scaricare un file apparentemente legittimo che in realtà rappresenta il primo stadio dell’infezione. Una volta eseguito il download, il malware stabilisce una connessione con i server controllati dagli attaccanti e avvia l’installazione di ulteriori payload.
FakeUpdates sfrutta la fiducia negli aggiornamenti software
La forza di FakeUpdates risiede principalmente nell’ingegneria sociale. Gli utenti sono ormai abituati a ricevere notifiche che richiedono aggiornamenti di browser, plugin o applicazioni. Gli attaccanti sfruttano questa abitudine per convincere le vittime a eseguire file dannosi senza sospetti. I siti compromessi continuano generalmente a funzionare in modo apparentemente normale, rendendo difficile per amministratori e visitatori accorgersi della presenza del malware. In molti casi il codice viene caricato solo in determinate condizioni geografiche o verso specifiche categorie di utenti, riducendo ulteriormente la probabilità di rilevamento. Questa tecnica ha consentito a SocGholish di trasformare migliaia di siti legittimi in una rete globale di distribuzione malware.
Il collegamento diretto con Evil Corp
Le autorità collegano da anni SocGholish alle attività di Evil Corp, una delle organizzazioni criminali più note del panorama cyber. Attiva dal 2007, Evil Corp ha costruito la propria reputazione attraverso lo sviluppo e la distribuzione di malware finanziari e campagne ransomware altamente redditizie. Malware storici come Zeus e Dridex hanno rappresentato per anni strumenti fondamentali per il furto di credenziali bancarie e dati finanziari. Negli ultimi anni il gruppo ha ampliato le proprie attività entrando nel mercato del ransomware attraverso famiglie come WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker. In questo contesto SocGholish svolge il ruolo di vettore iniziale di compromissione, consentendo agli operatori di ottenere accesso ai sistemi delle vittime prima di distribuire payload più aggressivi e profittevoli.
Un malware utilizzato per distribuire ransomware e trojan
Una volta completata l’infezione iniziale, SocGholish permette agli operatori di installare diversi strumenti aggiuntivi. Tra i malware distribuiti attraverso questa piattaforma figurano varianti di Dridex, framework di post-exploitation come Empire e Koadic, strumenti di accesso remoto e numerose famiglie ransomware. Questa flessibilità rende il malware particolarmente pericoloso perché il suo impatto finale dipende dalle decisioni degli operatori criminali. Un sistema infettato può essere utilizzato per il furto di credenziali, la compromissione della rete aziendale, il movimento laterale o la distribuzione di ransomware contro organizzazioni pubbliche e private. Colpire SocGholish significa quindi interrompere una delle principali catene di distribuzione utilizzate da Evil Corp e da altri gruppi cybercriminali.
I server sequestrati interrompono la catena di attacco
La disattivazione di 106 server e domini rappresenta uno degli aspetti più importanti dell’operazione. L’infrastruttura di comando e controllo è infatti essenziale per il funzionamento di SocGholish. Senza server operativi, il malware non può distribuire nuovi payload né ricevere istruzioni dagli operatori. Sebbene gli attaccanti possano tentare di ricostruire parte dell’infrastruttura, la perdita simultanea di un numero così elevato di sistemi rallenta significativamente le attività criminali e aumenta i costi operativi necessari per ripristinare la rete. Le autorità hanno inoltre ottenuto dati utili per proseguire le indagini e identificare ulteriori soggetti coinvolti nelle operazioni del gruppo.
Notifiche ai proprietari dei siti compromessi
Parallelamente alla bonifica tecnica, le forze dell’ordine hanno contattato i proprietari dei siti coinvolti fornendo istruzioni per prevenire nuove compromissioni. Le raccomandazioni includono il cambio immediato delle credenziali amministrative, l’attivazione dell’autenticazione multifattore (MFA), la rimozione di account WordPress sconosciuti e l’aggiornamento costante di plugin, temi e core del CMS. In numerosi casi gli investigatori hanno anche collaborato con servizi di monitoraggio delle violazioni per notificare agli utenti l’eventuale esposizione di credenziali sottratte durante le attività degli attaccanti. L’obiettivo è evitare che i siti ripuliti possano essere compromessi nuovamente attraverso le stesse vulnerabilità.
WordPress resta un bersaglio privilegiato
Il caso SocGholish conferma ancora una volta come WordPress rappresenti uno degli obiettivi preferiti dai cybercriminali. La diffusione globale della piattaforma, unita alla presenza di migliaia di plugin e temi sviluppati da terze parti, offre un’enorme superficie di attacco. Vulnerabilità non corrette, plugin obsoleti, credenziali deboli e configurazioni errate continuano a rappresentare le principali cause di compromissione. Gli attaccanti sfruttano queste debolezze non tanto per colpire direttamente il proprietario del sito, quanto per utilizzare il portale compromesso come strumento di distribuzione verso migliaia di visitatori ignari. La capacità di trasformare siti perfettamente legittimi in vettori di infezione rende campagne come SocGholish particolarmente efficaci.
Operation Endgame continua la pressione sul cybercrime
L’azione contro SocGholish si inserisce all’interno di Operation Endgame, considerata la più ampia iniziativa internazionale mai realizzata contro infrastrutture ransomware e malware loader. L’operazione coinvolge decine di autorità nazionali e partner privati con l’obiettivo di colpire non solo i singoli malware, ma l’intero ecosistema che consente alle organizzazioni criminali di operare su scala globale. La rimozione di quasi 15.000 siti infetti e la neutralizzazione di oltre cento server dimostrano che anche infrastrutture consolidate e operative da anni possono essere indebolite attraverso una cooperazione internazionale efficace. Le autorità hanno già confermato che le attività proseguiranno nei prossimi mesi con nuove azioni contro i gruppi criminali che continuano a supportare ransomware, infostealer e altre forme di malware distribuite attraverso il web.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
