SocGholish - это вредоносная программа на JavaScript, которая используется как минимум с 2017 года. Он распространяется через ряд вредоносных сайтов, утверждающих, что они предоставляют критические обновления для браузеров. На самом деле эти сайты предназначены для того, чтобы обманом заставить жертву загрузить и установить вредоносное ПО - обычно в виде файлов .zip или .js.
SocGholish Malware
После того, как конечный пользователь вручную распаковывает и выполняет архивный файл, дважды щелкнув по его содержимому, происходит развертывание различных вредоносных программ, которые могут включать трояны удаленного доступа (RAT), программы для кражи информации и маячки Cobalt Strike. Все эти вредоносные программы являются лишь промежуточным этапом для целенаправленных ransomware-атак на корпорации и организации, приводящих к серьезным нарушениям бизнес-операций и значительным финансовым потерям.
Инфраструктура SocGholish, скорее всего, принадлежит к высокоразвитой группе, проанализированной компанией PRODRAFT в 2020-2021 годах, которую они называют SilverFish.
SocGholish
Indicators of Compromise
IPv4
- 141.94.63.231
- 141.94.63.238
- 146.19.188.108
- 153.92.223.141
- 195.123.246.184
- 23.140.176.43
- 45.10.42.26
- 45.10.43.78
- 79.142.69.149
Domains
- active.aasm.pro
- active.xomosagency.com
- actors.jcracing.com
- adsprofitnetwork.com
- amplifier.myjesusloves.me
- baget.godmessaged.me
- cachespace.net
- cardo.diem-co.com
- casting.faeryfox.com
- cats.johnbeach.us
- center.blueoctopuspress.com
- cigars.pawscolours.com
- clickanalytics208.com
- clickstat360.com
- cloud.bncfministries.org
- common.dotviolationsremoval.com
- community.wbaperformance.com
- connect.codigodebarra.co
- cruize.updogtechnologies.com
- d2j09jsarr75l2.cloudfront.net
- design.lawrencetravelco.com
- easycounter210.com
- expense.brick-house.net
- genesis.ibgenesis.org
- gohnson.advanceditsolutionsaz.com
- hares.lacyberlab.net
- havana.littlehavanacigarstore.com
- hemi.mamasbakery.net
- hope.point521.com
- hunter.libertylawaz.com
- mafia.carverdesigngroup.com
- master.ilsrecruitment.com
- mycontrol.alohaalsomeansgoodbye.com
- natural.cpawalmyrivera.com
- nivea.dreamworkscdc.com
- performer.stmhonline.com
- puzzle.tricityintranet.com
- query.dec.works
- record.usautosaleslv.com
- republic.beboldskincare.com
- rituals.fashionediter.com
- sdk.expresswayautopr.com
- second.pmservicespr.com
- stanley.planilla2021.com
- statclick.net
- staticvisit.net
- syncadv.com
- training.ren-kathybermejo.com
- vacation.thebrightgift.com
- wallpapers.uniquechoice-co.com
- webcachespace.net
- webcachestorage.com
- west.bykikarose.com