2026-06-19 00:00
← VoltarAs autoridades holandesas de aplicação da lei, juntamente com homólogas do Canadá, Alemanha e EUA, interromperam a infraestrutura maliciosa associada ao SocGholish e limparam quase 15.000 sites WordPress infectados. “Com essas ações, privamos os cibercriminosos do acesso aos sistemas de computadores infectados”, disse Maikel Rollman, da Unidade Nacional de Crimes de Alta Tecnologia da Holanda. "Isto evita maiores danos aos sistemas digitais de cidadãos, empresas e organizações em todo o mundo e limita a propagação de malware. Também reduz o risco de estes sistemas serem utilizados para ataques cibernéticos a infraestruturas críticas e outros processos sociais essenciais. Isto marca o início de novas ações contra o SocGholish." A remoção faz parte da Operação Endgame, uma iniciativa internacional contínua de aplicação da lei para combater botnets e infra-estruturas criminosas associadas. Foi lançado em 2024. Como parte do esforço, 106 servidores vinculados ao SocGholish foram desativados e 14.971 sites WordPress foram eliminados das infecções. Os proprietários de sites foram notificados para atualizar seu sistema de gerenciamento de conteúdo (CMS), alterar suas credenciais e excluir quaisquer contas suspeitas.
Ativo desde 2017 e também conhecido como FakeUpdates, o SocGholish é um malware de download baseado em JavaScript (JS) que normalmente serve como um canal para malware de próximo estágio de vários atores de ameaças, como Evil Corp (também conhecido como DEV-0243, Indrik...
As autoridades holandesas de aplicação da lei, juntamente com homólogas do Canadá, Alemanha e EUA, interromperam a infraestrutura maliciosa associada ao SocGholish e limparam quase 15.000 sites WordPress infectados. “Com essas ações, privamos os cibercriminosos do acesso aos sistemas de computadores infectados”, disse Maikel Rollman, da Unidade Nacional de Crimes de Alta Tecnologia da Holanda. "Isto evita maiores danos aos sistemas digitais de cidadãos, empresas e organizações em todo o mundo e limita a propagação de malware. Também reduz o risco de estes sistemas serem utilizados para ataques cibernéticos a infraestruturas críticas e outros processos sociais essenciais. Isto marca o início de novas ações contra o SocGholish." A remoção faz parte da Operação Endgame, uma iniciativa internacional contínua de aplicação da lei para combater botnets e infra-estruturas criminosas associadas. Foi lançado em 2024. Como parte do esforço, 106 servidores vinculados ao SocGholish foram desativados e 14.971 sites WordPress foram eliminados das infecções. Os proprietários de sites foram notificados para atualizar seu sistema de gerenciamento de conteúdo (CMS), alterar suas credenciais e excluir quaisquer contas suspeitas.
Ativo desde 2017 e também conhecido como FakeUpdates, o SocGholish é um malware de download baseado em JavaScript (JS) que normalmente serve como um canal para malware de próximo estágio de vários atores de ameaças, como Evil Corp (também conhecido como DEV-0243, Indrik Spider e UNC2165), LockBit, RansomHub, Dridex e Raspberry Robin (também conhecido como Roshtyak). “O malware estabelece uma posição inicial nos computadores das vítimas, conhecidos coletivamente como botnet, e é então usado por agentes de ameaças para ataques adicionais com campanhas de ransomware e espionagem”, disse a Divisão Cibernética do Federal Bureau of Investigation (FBI) dos EUA em uma postagem compartilhada no LinkedIn. Ele é distribuído por meio de sites comprometidos, disfarçando-se de atualizações enganosas para navegadores da web como Google Chrome ou Mozilla Firefox e outros softwares populares. Os operadores do malware foram rastreados sob vários pseudônimos, como Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 e UNC1543. “As infecções SocGholish normalmente se originam de sites comprometidos que foram infectados de várias maneiras diferentes”, observou Silent Push em uma análise do malware no ano passado. “As infecções de sites podem envolver injeções diretas, onde a entrega de carga útil do SocGholish injeta JS carregado diretamente de uma página infectada ou por meio de uma versão da injeção direta que usa um arquivo JS intermediário para carregar a injeção relacionada.” Em novembro de 2025, Arctic Wolf revelou que o SocGholish estava sendo usado pelos atores da ameaça RomCom para entregar o Agente Mítico, destacando o uso dos serviços do corretor de acesso inicial por uma ampla gama de atores com motivações variadas. A Orange Cyberdefense disse ter observado infecções SocGholish entregando carregadores como Gholoader (outro carregador baseado em JavaScript) e MintsLoader, que, por sua vez, levam à implantação de cargas adicionais como GhostWeaver, LockBit, AsyncRAT e NetSupport RAT. “O SocGholish usa um modelo de entrega em camadas e foi observado permitindo múltiplas categorias de cargas úteis subsequentes”, disse a empresa de segurança cibernética, acrescentando que o ator da ameaça também colabora com operadores de sistemas de distribuição de tráfego (TDS) como o TA2726.
TDS é uma tecnologia usada para direcionar os visitantes do site para diferentes destinos com base em diferentes fatores. Isso pode variar de sites de login comprometidos ou falsos que hospedam páginas de phishing a sites falsos que solicitam que os usuários baixem atualizações de software contendo malware, que podem então obter acesso às redes das vítimas para ransomware ou outros golpes financeiros. “Os cibercriminosos usam o TDS para contornar as regras tradicionais de firewall que, de outra forma, bloqueariam conexões a sites maliciosos e para analisar possíveis vítimas, coletando seu endereço IP, sistema operacional, localização, dispositivo e informações do navegador”, disse o FBI. “Depois de direcionar os usuários para um TDS, muitas vezes por meio de diversas técnicas de engenharia social, os cibercriminosos podem xploit dispositivos dos usuários no final da cadeia de redirecionamento TDS, entregando páginas de phishing, golpes financeiros e outros malwares." Muitas das instâncias comprometidas do WordPress foram modificadas para incluir infraestrutura criminosa operada pela SocGholish, de acordo com a Shadowserver Foundation. A grande maioria dos sites hackeados estava localizada nos EUA, seguido pela Alemanha, França, Índia, Brasil, Cingapura, Itália, Indonésia, Canadá e Vietnã. "O abuso também inclui o uso de um processo conhecido como 'Domínio Shadowing'", disse a organização sem fins lucrativos. "Esta é uma técnica em que um ator de ameaça obtém acesso ao provedor de DNS oficial ou painel de conta do registrador para um domínio legítimo e usa seu acesso para criar silenciosamente subdomínios adicionais abaixo do domínio principal ('apex'). ""Esses subdomínios maliciosos geralmente recebem nomes de host comuns que se escondem à vista de todos e se misturam com a infraestrutura DNS legítima do proprietário do domínio, mas apontarão para uma infraestrutura maliciosa externa operada por criminosos - efetivamente pegando carona na reputação estabelecida de um domínio e tornando mais difícil para os defensores detectar ou bloquear facilmente atividades ilícitas." Além disso, os sites infectados são frequentemente explorados por vários atores de ameaças, expondo os visitantes desavisados do site a um conjunto sofisticado de ameaças potenciais.
O comportamento malicioso exibido por esses sites é ditado por vários fatores cruciais, incluindo o país de origem do usuário, o tipo de navegador usado e o sistema operacional subjacente. "O TA569 compromete sites indiscriminadamente e é oportunista, embora sites com maior número de tráfego levem a mais vítimas", Proofpoint disse: "O ator também comprometeu sites em praticamente todos os setores, desde organizações sem fins lucrativos e escolas, até organizações de saúde e hospitais, até organizações jurídicas e imobiliárias." A empresa de inteligência de ameaças de DNS Infoblox descreveu o SocGholish como uma estrutura JavaScript de vários estágios que converte sites comprometidos em veículos de entrega de malware por download. eles próprios ", disse ele. "Mas eles também aceitam tráfego de afiliados. É uma relação comercial clássica: quando um usuário visita o site, o afiliado normalmente tira suas impressões digitais e depois repassa as vítimas em potencial ao SocGholish por meio de um link incorporado. Em troca, o afiliado será pago por esses 'leads.' A Infoblox mostra que aproximadamente 55% de seus clientes de nuvem tentaram alcançar a infraestrutura SocGholish somente neste ano, com os ataques visando quase "todos os setores da indústria" nos últimos cinco meses. "Essa distribuição [...] reforça que SocGholish não é uma ameaça de nicho limitada a uma vertical", disse a empresa "Em vez disso, seu webinject e transporte em grande escala. O ecossistema TDS atinge ambientes do setor público e comercialmente importantes, tornando-o uma ameaça amplamente relevante em toda a nossa base de clientes." Aprenda como descobrir o uso oculto de IA, veja quais dados ele pode acessar, mapeie cada ação de IA para um proprietário humano e aplique governança prática sem grandes mudanças de infraestrutura.
Aprenda como conter ataques de IA estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias ies de líderes do setor, tudo de graça.