SocGholish
SocGholish ist der Name, den Infosec-Forscher einer Infrastruktur geben, die von Cyberkriminellen eingerichtet wurde, um Drive-by-Download-Angriffe durchzuführen. Das Framework nutzt liberal verschiedene Social-Engineering- und Manipulationstaktiken, die Benutzer zur infizierten Staging-Website führen. SocGholish versucht, seine Ziele dazu zu bringen, die beschädigten ZIP-Dateien auszuführen, indem es vorgibt, legitime Updates für Browser-, Flash- oder Microsoft-Teams zu sein. Die primäre Übermittlungsmethode ist iFrames, das eine legitime Website mit einer beschädigten Version ohne Wissen des Benutzers überlagert. Durch die Nutzung von iFrames können die Hacker die Webfilterung umgehen, da die Website-Kategorien von legitimen bereitgestellt werden.
Im Gegensatz zu einigen der zuvor erkannten Drive-by-Infrastrukturen ist SocGholish nicht auf Browser-Schwachstellen angewiesen oder nutzt Kits aus, um seine Ziele zu infizieren. Stattdessen können drei verschiedene Techniken ausgeführt werden. Der erste sieht, wie die Cyberkriminellen einen Wasserlochangriff starten. Sie zielen auf Websites mit hohem Datenverkehr ab und fügen ihnen iFrames hinzu. Benutzer, die die bereits manipulierten Websites besuchen, werden durch mehrere Weiterleitungen geführt, bis sie auf der Website landen die eine beschädigte ZIP-Datei liefert. Die zweite Technik beinhaltet die Injektion von iFrames in Content-Management-Systeme. Der Drive-by-Download der beschädigten Dateien wird über JavaScript-Blobs ausgelöst. Bei der dritten Methode nutzt SocGholish neben sites.google.com erneut JavaScript, um Download-Links zu generieren, die dynamisch zur beschädigten Datei führen. In diesem Fall wird das ZIP-Archiv auf einem legitimen Google Drive gehostet, während der Download durch einen simulierten Mausklick initiiert wird.
Die Forscher stellen fest, dass die vom Drive-by-Angriff gelieferte Datei normalerweise als Nutzlast der ersten Stufe fungiert. Es hat die Aufgabe, das infizierte System zu scannen, die Zwischennutzlast oder die endgültige Malware-Bedrohung abzurufen und auszuführen. Es wurde berichtet, dass SocGholish letztendlich den Dridex- Banking-Trojaner oder eine Variante der WastedLocker-Ransomware auf dem kompromittierten Computer bereitstellt.
