Il team di Threat Research di Proofpoint ha osservato iniezioni intermittenti di malware in una media company che serve molte importanti testate giornalistiche, con la fornitura di contenuti tramite Javascript ai partner. Un team cybercriminale ha trovato il modo di modificare il codice base di questo Javascript, altrimenti benigno, per distribuire SocGholish.
I ricercatori Proofpoint hanno identificato questo team cybercriminale come TA569.
Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint
Già in passato, TA569 ha sfruttato risorse multimediali per distribuire SocGholish, malware che può portare a infezioni successive, compreso un potenziale ransomware. La situazione deve essere monitorata attentamente, poiché abbiamo osservato TA569 reinfettare gli stessi asset pochi giorni dopo la bonifica. Risolvere il problema una volta non è sufficiente. Vale la pena ricordare che la sicurezza dei siti Web si basa su una rete di attività e servizi che coinvolge anche terze parti e che, per quanto robusta sia la sicurezza di un’organizzazione, è valida solo quanto gli asset indipendenti introdotti in azienda.
Come opera TA569
Il team cybercriminale TA569 ha nel recente passato rimosso e reinserito questi Javascript maligni a rotazione. Pertanto la presenza del payload e del suo contenuto dannoso può variare di ora in ora e non dovrebbe essere considerata un falso positivo.
Più di 250 siti giornalistici regionali e nazionali hanno avuto accesso al Javascript pericoloso e il numero effettivo di host colpiti è noto solo all’azienda di media coinvolta.
