Retshåndhævende myndigheder har slået en stor del af infrastrukturen bag SocGholish-malware ud, en langvarig trussel, der har inficeret tusindvis af websteder verden over. Myndighederne har fjernet skadelig kode fra næsten 15.000 kompromitterede WordPress-websteder og beslaglagt servere, der blev brugt til at distribuere malware til intetanende besøgende.

Operationen involverede myndigheder fra flere lande og var en del af den bredere Operation Endgame-indsats, som retter sig mod store cyberkriminelle netværk. Efterforskere siger, at indsatsen har forstyrret et af internettets mest vedvarende systemer til distribution af malware.

Myndigheder rensede tusindvis af inficerede websteder

Ifølge myndighederne fjernede efterforskere malware og bagdøre fra 14.971 kompromitterede WordPress-websteder. De slog også 106 servere og domæner ud, som understøttede operationen.

Indsatsen fokuserede på infrastruktur knyttet til SocGholish, en malwarekampagne, der har været aktiv i flere år. Sikkerhedsforskere og retshåndhævende myndigheder har længe forbundet operationen med cyberkriminel aktivitet med tilknytning til Evil Corp.

Myndighederne beskriver aktionen som et vigtigt skridt i arbejdet med at reducere truslen fra malwarekampagnen. Samtidig understreger efterforskerne, at yderligere tiltag kan følge, mens de fortsætter med at målrette den resterende infrastruktur.

Falske opdateringer drev infektionerne

SocGholish-malware spredes gennem kompromitterede websteder, der viser falske beskeder om browseropdateringer. Besøgende bliver narret til at downloade det, der ser ud til at være en legitim softwareopdatering. I virkeligheden installerer downloadet skadelig kode på offerets enhed.

Forskere har fulgt kampagnen siden mindst 2018. Gennem årene har malwaren udviklet sig til en effektiv platform for indledende adgang, som bruges til at levere yderligere trusler. Ofre bliver ofte ramt af ransomware, informationsstjælende programmer, fjernadgangsværktøjer eller anden malware efter den første infektion.

Kampagnen bygger i høj grad på tillid. Angriberne kompromitterer legitime websteder og bruger dem til at vise falske opdateringsmeddelelser, hvilket får angrebene til at fremstå troværdige for besøgende.

Webstedsejere opfordres til at styrke sikkerheden

Efterforskere anbefaler, at berørte webstedsejere gennemgår deres systemer for uautoriserede ændringer og opdaterer al WordPress-software. Sikkerhedseksperter anbefaler også at ændre administrative adgangskoder, aktivere multifaktorgodkendelse og fjerne ukendte konti.

Selvom operationen har reduceret netværkets størrelse betydeligt, advarer sikkerhedsforskere om, at lignende malwarekampagner fortsat retter sig mod sårbare websteder. Organisationer, der driver offentligt tilgængelig webinfrastruktur, bør fortsætte med at overvåge tegn på kompromittering og sikre, at deres systemer er fuldt opdaterede.

Konklusion

Nedtagningen af SocGholish-malware markerer en af de største oprydningsindsatser mod inficerede websteder i de senere år. Ved at fjerne skadelig kode fra næsten 15.000 websteder og slå central infrastruktur ud har myndighederne svækket en operation, der hjalp cyberkriminelle med at få adgang til tusindvis af systemer. Aktionen viser, hvordan internationalt samarbejde kan forstyrre storskala cyberkriminalitet, men forsvarere må fortsat være på vagt, efterhånden som trusselsaktører tilpasser deres metoder.


0 svar til “SocGholish-malware fjernet fra næsten 15.000 websteder”