Secondo la società di cybersicurezza Proofpoint, un gruppo di criminali informatici ha compromesso un fornitore di contenuti multimediali per distribuire malware sui siti web di centinaia di testate giornalistiche negli Stati Uniti. Gli attori della minaccia, rintracciati da Proofpoint come “TA569”, hanno compromesso l’organizzazione di media per diffondere SocGholish, un malware personalizzato attivo almeno dal 2018. L’azienda di media in questione non è stata nominata, ma è stata informata e si dice che stia indagando. Sherrod DeGrippo, vicepresidente della ricerca e del rilevamento delle minacce di Proofpoint, ha dichiarato a TechCrunch che l’organizzazione fornisce “sia contenuti video che pubblicità ai principali organi di informazione”. Non è chiaro come sia stata compromessa l’azienda di media senza nome, ma DeGrippo ha aggiunto che TA569 “ha una storia dimostrata di compromissione dei sistemi di gestione dei contenuti e degli account di hosting”.
La notizia dei dirottamenti dei siti è stata diffusa per la prima volta su Twitter mercoledì.
Il malware SocGholish viene iniettato in un file JavaScript benigno che viene caricato dai siti web degli organi di informazione e che invita il visitatore del sito a scaricare un falso aggiornamento software. In questa campagna, la richiesta assume la forma di un aggiornamento del browser per Chrome, Firefox, Internet Explorer, Edge o Opera. “Se la vittima scarica ed esegue questo ‘falso aggiornamento’, viene infettata dal payload SocGholish”, ha dichiarato DeGrippo. “Questa catena di attacco richiede l’interazione dell’utente finale in due punti: l’accettazione del download e l’esecuzione del payload”. Secondo Proofpoint, SocGholish funge da “minaccia di accesso iniziale”, che, se impiantata con successo, funge storicamente da precursore del ransomware. L’obiettivo finale degli attori della minaccia, secondo l’azienda, è il guadagno finanziario. Proofpoint ha dichiarato a TechCrunch di “valutare con elevata sicurezza” che TA569 è associato a WastedLocker, una variante di ransomware sviluppata dal gruppo statunitense Evil Corp. L’azienda ha aggiunto che non crede che TA569 sia Evil Corp, ma che agisca piuttosto come intermediario di dispositivi già compromessi per il gruppo di hacker. All’inizio dell’anno è stato rivelato che Evil Corp utilizza un modello di ransomware-as-a-service nel tentativo di eludere le sanzioni statunitensi. La banda è stata sanzionata nel dicembre 2019 a causa del suo ampio sviluppo del malware Dridex, che ha utilizzato per rubare più di 100 milioni di dollari da centinaia di banche e istituzioni finanziarie.
