- 27,661
- 46
- 8 Ноя 2022
Через сайты обычных кафе и магазинов пользователям годами подсовывали вирусы.
Почти 15 тысяч обычных сайтов, от страниц ресторанов до сервисов автосервисов, оказались частью преступной схемы, через которую посетителям подсовывали вредоносные «обновления». Международные правоохранительные органы сообщили о новом ударе по инфраструктуре SocGholish , также известной как FakeUpdates.
Операция прошла в рамках Operation Endgame . Полиция Нидерландов, Королевская канадская конная полиция, Федеральное бюро расследований США и Федеральное ведомство уголовной полиции Германии при поддержке Европола и Евроюста обезвредили 14 971 заражённый сайт на WordPress. Всего по всему миру вывели из строя 106 серверов и доменов, связанных с преступной инфраструктурой.
SocGholish использует взломанные легитимные сайты на WordPress, чтобы заражать компьютеры посетителей. Платформа остаётся самой популярной системой для создания сайтов в мире: по данным WordPress, на ней работают более 43% всех сайтов в интернете. Правоохранители также сообщили, что утекли учётные данные от 1,4 млн сайтов, что делает такие ресурсы особенно уязвимыми для новых атак.
Схема обычно строится вокруг поддельных обновлений программ, чаще всего браузеров. Пользователь видит всплывающее окно, устанавливает якобы срочное обновление, после чего вредоносная программа устанавливает связь с атакующими. Такой первоначальный доступ позволяет преступникам закрепиться в системе и затем развернуть более опасные инструменты, включая программы-вымогатели.
По данным правоохранителей, SocGholish связан с Evil Corp . Группировка ранее фигурировала в атаках, где применялись Zeus и Dridex, проводила масштабные операции с программами-вымогателями и отмывала деньги. Сама SocGholish остаётся заметной угрозой с 2017 года и применялась в цепочках заражения, которые в итоге приводили к атакам на критически важные объекты.
В ходе операции правоохранители очистили заражённые сайты WordPress, удалили вредоносный код и скрытые точки доступа, а владельцев ресурсов предупредили о рисках. Владельцам скомпрометированных сайтов рекомендовали сменить пароли, включить многофакторную аутентификацию, удалить неизвестные учётные записи администраторов и регулярно обновлять WordPress.
Пользователям советуют не доверять всплывающим окнам в браузере, особенно если баннер требует немедленно установить «критическое» обновление. Настоящие обновления нужно получать только из официальных источников: через настройки системы, магазин приложений или сайт разработчика. Антивирус также должен оставаться включённым, пока устанавливаются новые программы.
Operation Endgame стартовала в 2024 году и считается одной из крупнейших международных операций против программ-вымогателей и киберпреступных сетей. В ней участвуют правоохранительные и судебные органы Нидерландов, Германии, Дании, США, Австралии, Франции, Бельгии, Великобритании и Канады. Удар по SocGholish правоохранители называют только началом дальнейших действий против этой инфраструктуры.
Почти 15 тысяч обычных сайтов, от страниц ресторанов до сервисов автосервисов, оказались частью преступной схемы, через которую посетителям подсовывали вредоносные «обновления». Международные правоохранительные органы сообщили о новом ударе по инфраструктуре SocGholish , также известной как FakeUpdates.
Операция прошла в рамках Operation Endgame . Полиция Нидерландов, Королевская канадская конная полиция, Федеральное бюро расследований США и Федеральное ведомство уголовной полиции Германии при поддержке Европола и Евроюста обезвредили 14 971 заражённый сайт на WordPress. Всего по всему миру вывели из строя 106 серверов и доменов, связанных с преступной инфраструктурой.
SocGholish использует взломанные легитимные сайты на WordPress, чтобы заражать компьютеры посетителей. Платформа остаётся самой популярной системой для создания сайтов в мире: по данным WordPress, на ней работают более 43% всех сайтов в интернете. Правоохранители также сообщили, что утекли учётные данные от 1,4 млн сайтов, что делает такие ресурсы особенно уязвимыми для новых атак.
Схема обычно строится вокруг поддельных обновлений программ, чаще всего браузеров. Пользователь видит всплывающее окно, устанавливает якобы срочное обновление, после чего вредоносная программа устанавливает связь с атакующими. Такой первоначальный доступ позволяет преступникам закрепиться в системе и затем развернуть более опасные инструменты, включая программы-вымогатели.
По данным правоохранителей, SocGholish связан с Evil Corp . Группировка ранее фигурировала в атаках, где применялись Zeus и Dridex, проводила масштабные операции с программами-вымогателями и отмывала деньги. Сама SocGholish остаётся заметной угрозой с 2017 года и применялась в цепочках заражения, которые в итоге приводили к атакам на критически важные объекты.
В ходе операции правоохранители очистили заражённые сайты WordPress, удалили вредоносный код и скрытые точки доступа, а владельцев ресурсов предупредили о рисках. Владельцам скомпрометированных сайтов рекомендовали сменить пароли, включить многофакторную аутентификацию, удалить неизвестные учётные записи администраторов и регулярно обновлять WordPress.
Пользователям советуют не доверять всплывающим окнам в браузере, особенно если баннер требует немедленно установить «критическое» обновление. Настоящие обновления нужно получать только из официальных источников: через настройки системы, магазин приложений или сайт разработчика. Антивирус также должен оставаться включённым, пока устанавливаются новые программы.
Operation Endgame стартовала в 2024 году и считается одной из крупнейших международных операций против программ-вымогателей и киберпреступных сетей. В ней участвуют правоохранительные и судебные органы Нидерландов, Германии, Дании, США, Австралии, Франции, Бельгии, Великобритании и Канады. Удар по SocGholish правоохранители называют только началом дальнейших действий против этой инфраструктуры.
- Источник новости
- www.securitylab.ru
