Politimyndigheter har slått ut en stor del av infrastrukturen bak SocGholish-skadevare, en langvarig trussel som har infisert tusenvis av nettsteder verden over. Myndighetene har fjernet skadelig kode fra nesten 15 000 kompromitterte WordPress-nettsteder og beslaglagt servere som ble brukt til å distribuere skadevare til intetanende besøkende.
Aksjonen involverte myndigheter fra flere land og var en del av den bredere Operation Endgame-innsatsen, som retter seg mot store cyberkriminelle nettverk. Etterforskere sier at operasjonen har forstyrret et av internettets mest vedvarende systemer for distribusjon av skadevare.
Myndighetene renset tusenvis av infiserte nettsteder
Ifølge myndighetene fjernet etterforskere skadevare og bakdører fra 14 971 kompromitterte WordPress-nettsteder. De slo også ut 106 servere og domener som støttet operasjonen.
Aksjonen fokuserte på infrastruktur knyttet til SocGholish, en skadevarekampanje som har vært aktiv i flere år. Sikkerhetsforskere og politimyndigheter har lenge knyttet operasjonen til cyberkriminell aktivitet med forbindelser til Evil Corp.
Myndighetene beskriver tiltaket som et viktig skritt for å redusere trusselen fra kampanjen. Samtidig understreker etterforskerne at flere tiltak kan følge etter hvert som de fortsetter å målrette gjenværende infrastruktur.
Falske oppdateringer drev infeksjonene
SocGholish-skadevare spres gjennom kompromitterte nettsteder som viser falske meldinger om nettleseroppdateringer. Besøkende blir lurt til å laste ned det som ser ut som en legitim programvareoppdatering. I virkeligheten installerer nedlastingen skadelig kode på offerets enhet.
Forskere har fulgt kampanjen siden minst 2018. Gjennom årene har skadevaren utviklet seg til en effektiv plattform for innledende tilgang som brukes til å levere ytterligere trusler. Ofre blir ofte rammet av løsepengevirus, informasjonstyvere, fjernstyringsverktøy eller annen skadevare etter den første infeksjonen.
Kampanjen bygger i stor grad på tillit. Angriperne kompromitterer legitime nettsteder og bruker dem til å vise falske oppdateringsmeldinger, noe som gjør angrepene overbevisende for besøkende.
Nettstedseiere oppfordres til å styrke sikkerheten
Etterforskerne anbefaler at berørte nettstedseiere gjennomgår systemene sine for uautoriserte endringer og oppdaterer all WordPress-programvare. Sikkerhetseksperter anbefaler også å endre administrative passord, aktivere multifaktorautentisering og fjerne ukjente kontoer.
Selv om operasjonen har redusert nettverkets størrelse betydelig, advarer sikkerhetsforskere om at lignende skadevarekampanjer fortsatt retter seg mot sårbare nettsteder. Organisasjoner som driver offentlig tilgjengelig webinfrastruktur, bør fortsette å overvåke tegn på kompromittering og sørge for at systemene er fullt oppdatert.
Konklusjon
Nedstengningen av SocGholish-skadevare markerer en av de største oppryddingsaksjonene mot infiserte nettsteder de siste årene. Ved å fjerne skadelig kode fra nesten 15 000 nettsteder og slå ut sentral infrastruktur har myndighetene svekket en operasjon som hjalp cyberkriminelle med å få tilgang til tusenvis av systemer. Aksjonen viser hvordan internasjonalt samarbeid kan forstyrre storskala cyberkriminalitet, men forsvarere må fortsatt være på vakt etter hvert som trusselaktører tilpasser metodene sine.


0 responses to “SocGholish-skadevare fjernet fra nesten 15 000 nettsteder”