Главная страница » IOC
0
8 месяцев
IOC

SocGholish Malware IOCs - Part 17

security

Загрузчик SocGholish, также известный как FakeUpdates, стал фаворитом для нескольких киберпреступных групп с 2017 года. Он использует метод загрузки drive-by, поставляя вредоносную полезную нагрузку, которая маскируется под обновление браузера. Это позволяет установить вредоносное ПО на компьютер пользователя без его согласия. Злоумышленники, такие как Evil Corp и TA569, активно используют SocGholish для своих атак.

SocGholish

Злоумышленники постоянно совершенствуют свои методы, чтобы избежать обнаружения и увеличить вероятность успешной атаки. Недавно были обнаружены изменения в тактике и технике злоумышленников, использующих SocGholish. Они используют уязвимые плагины WordPress и систему распределения трафика Keitaro для инъекции вредоносного кода на взломанные сайты. К тому же, у них есть тысячи других скомпрометированных веб-страниц, на которых распространяется вредоносный код.

Для дополнительной информации о SocGholish был использован сервис URLScan.io, который предоставил информацию о связанных доменах и позволил получить детальные данные о Keitaro TDS. Все TDS указывали на один IP-адрес, который был связан с другими кампаниями Evil Corp. Путем следования перенаправлению с взломанных сайтов был обнаружен домен SocGholish.

Злоумышленники используют фальшивые обновления браузера в качестве фасада для установки вредоносной полезной нагрузки. Специально созданные страницы притягивают внимание пользователей и заставляют их нажать на сообщение о необходимости обновления браузера. Поддельные обновления затрагивают самые популярные браузеры, такие как Chrome, Firefox, IE и Opera.

Изучение кода фальшивых обновлений SocGholish позволяет выявить отпечатки пальцев определенных профилей пользователей. Также было обнаружено использование веб-драйвера интерфейса навигатора для определения автоматизации, размеров окна и событий мыши.

В целом, SocGholish продолжает эволюционировать и адаптироваться к новым мерам безопасности. Злоумышленники активно используют этот загрузчик, искусно скрывая свои атаки и повышая вероятность неудачного обнаружения. Пользователям следует быть осторожными и регулярно обновлять свои программы и плагины, чтобы избежать заражения SocGholish и подобными программами.

Indicators of Compromise

Domains

  • africa.thesmalladventureguide.com
  • rastek.id
  • scada.paradizeconstruction.com
  • sticky.oystergardening.name
  • supremeceilings.co.za
  • tropicalforestproducts.com

SHA256

  • 78ddcf7ce945cfa92e640c53462174b21601506b39dec9731212d7d4ef8aa74d
  • f0fbc29c86cd84ac18aeeee38de05c32fee95d6fa49425021ce0e3d3b13d2d05
Комментарии: 0
Похожие записи
0
15 часов
IOC

Распространение RansomHub Ransomware компанией SocGholish

ransomware
Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
0
10 дней
IOC

Поддельная reCAPTCHA от LummaStealer

Spyware
В последнем месяце 2025 года была выявлена вредоносная кампания, осуществляемая через атаку на сайты бронирования. Злоумышленники используют поддельные страницы бронирования, чтобы на доверчивых путешественников
0
3 месяца
IOC

SocGholish Malware IOCs - Part 19

security
15 декабря сотрудники Kaiser Permanente столкнулись с вредоносной кампанией через поисковую рекламу Google. Мошенническая реклама притворялась HR-порталом компании и направляла пользователей на поддельный веб-сайт, предлагая обновить браузер.
0
3 месяца
IOC

I2PRAT Malware IOCs

remote access Trojan
Преступники всегда стремятся скрыть свои следы, и сейчас они находят новые способы сделать это. Из одного такого метода, называемого I2P, злоумышленниками редко пользовались до недавнего времени.