С 4 июля 2024 года специалисты Huntress заметили новое поведение вредоносного ПО SocGholish или FakeUpdates. Это вредоносная программа, которая за последние пару лет испытала несколько изменений и кампаний. Чаще всего заражение происходит при посещении скомпрометированного сайта, после чего появляется запрос на обновление браузера. Если пользователь загружает обновление, запускается вредоносный код, который загружает дополнительные вредоносные программы. Ранее вредоносные программы SocGholish устанавливали распространенные RAT (например, AsyncRAT или NetSupport RAT), создавая командное соединение с зараженной системой. В последние случаи замечено некоторое отклонение от обычного поведения.
В этой цепочке заражения вредоносный файл JavaScript отвечает за загрузку последующих этапов. В данном случае существуют две различные цепочки: одна устанавливает AsyncRAT без использования файлов, а другая устанавливает вредоносный клиент BOINC. Оба этапа размещены на сайте rzegzwre[.]top, однако доступ к цепочке BOINC происходит напрямую через IP-адрес.
Все загрузчики PowerShell сильно обфусцированы, большая часть строки хранится в виде массивов символов. Скрипты, используемые для установки BOINC, не только не обфусцированы, но и содержат комментарии автора.
Бесфайловая установка AsyncRAT состоит из трех этапов. В первом этапе происходит попытка обойти AMSI (антивирусный интерфейс скрипта Microsoft) и затем запускается следующий этап. Во втором этапе происходит декодирование, расшифровка и распаковка третьего этапа загрузчика PowerShell. Третий этап отвечает за функциональность Anti-VM, используя несколько известных техник для определения, работает ли программа на виртуальной машине.
Таким образом, SocGholish или FakeUpdates - это вредоносная программа, которая заражает системы через скомпрометированные сайты и устанавливает дополнительные вредоносные программы, такие как AsyncRAT или BOINC. Загрузчики PowerShell, используемые для установки этих программ, обфусцированы и содержат скрытый код. Важно быть бдительным в сети и использовать антивирусные программы для защиты от таких угроз.
Indicators of Compromise
IPv4
- 104.200.73.68
- 104.238.34.204
- 216.245.184.105
- 5.161.214.209
- 64.7.199.144
- 64.94.84.200
Domains
- ga1yo3wu78v48hh.top
- klmnnilmahlkcje.top
- rosetta.cn
- rosetta.top
- rzegzwre.top
SHA256
- 01a8aeb0b350a1325c86c69722affd410ff886881a405743e1adb23538eff119
- 380bd5f097b8501618cf8b312d68e97b3220c31172f82973fce3084157caa15e
- 4716011ca9325480069bffeb2bbe0629fec6e5f69746f2e47f0a6894f2858c0b
- 91e405e8a527023fb8696624e70498ae83660fe6757cef4871ce9bcc659264d3
- c5bfe4ddcf576b432f4e6ccce10dd3d219ee5f54497e0cc903671783924414a6
