Brottsbekämpande myndigheter har slagit ut en stor del av infrastrukturen bakom SocGholish-malware, ett långvarigt hot som har infekterat tusentals webbplatser världen över. Myndigheterna har tagit bort skadlig kod från nästan 15 000 komprometterade WordPress-webbplatser och beslagtagit servrar som användes för att distribuera malware till ovetande besökare.
Insatsen involverade myndigheter från flera länder och utgjorde en del av den bredare Operation Endgame-satsningen, som riktar in sig på omfattande cyberkriminella nätverk. Utredare uppger att åtgärden har störst en av internets mest ihållande infrastrukturer för spridning av malware.
Myndigheter sanerade tusentals infekterade webbplatser
Enligt myndigheterna rensade utredare malware och bakdörrar från 14 971 komprometterade WordPress-webbplatser. De slog även ut 106 servrar och domäner som användes för att stödja verksamheten.
Insatsen fokuserade på infrastruktur kopplad till SocGholish, en malwarekampanj som har varit aktiv i flera år. Säkerhetsforskare och brottsbekämpande myndigheter har länge kopplat operationen till cyberkriminell aktivitet med anknytning till Evil Corp.
Myndigheterna beskriver åtgärden som ett viktigt steg för att minska hotet från malwarekampanjen. Samtidigt betonar utredarna att fler insatser kan följa när de fortsätter att rikta in sig på den återstående infrastrukturen.
Falska uppdateringar drev infektionerna
SocGholish-malware sprids via komprometterade webbplatser som visar falska meddelanden om webbläsaruppdateringar. Besökare luras att ladda ner det som ser ut att vara en legitim programuppdatering. I verkligheten installerar nedladdningen skadlig kod på offrets enhet.
Forskare har följt kampanjen sedan åtminstone 2018. Under åren har malware utvecklats till en effektiv plattform för initial åtkomst som används för att leverera ytterligare hot. Offren drabbas ofta av ransomware, informationsstjälande program, fjärråtkomstverktyg eller annan malware efter den första infektionen.
Kampanjen bygger i hög grad på förtroende. Angriparna komprometterar legitima webbplatser och använder dem för att visa falska uppdateringsmeddelanden, vilket får attackerna att framstå som trovärdiga för besökarna.
Webbplatsägare uppmanas att stärka säkerheten
Utredarna rekommenderar att berörda webbplatsägare granskar sina system efter obehöriga ändringar och uppdaterar all WordPress-programvara. Säkerhetsexperter rekommenderar även att byta administrativa lösenord, aktivera multifaktorautentisering och ta bort okända konton.
Trots att operationen kraftigt har minskat nätverkets omfattning varnar säkerhetsforskare för att liknande malwarekampanjer fortsatt riktar in sig på sårbara webbplatser. Organisationer som driver publikt tillgänglig webbinfrastruktur bör fortsätta övervaka tecken på intrång och säkerställa att systemen är fullt uppdaterade.
Slutsats
Nedmonteringen av SocGholish-malware markerar en av de största saneringsinsatserna för webbplatser under de senaste åren. Genom att ta bort skadlig kod från nästan 15 000 webbplatser och slå ut central infrastruktur har myndigheterna försvagat en operation som hjälpte cyberkriminella att få åtkomst till tusentals system. Insatsen visar hur internationellt samarbete kan störa storskalig cyberbrottslighet, men försvarare måste fortsätta vara vaksamma när hotaktörer anpassar sina metoder.


0 svar till ”SocGholish-malware har tagits bort från nästan 15 000 webbplatser”