SocGholish
SocGholish est le nom donné par les chercheurs d'Infosec à une infrastructure mise en place par des cybercriminels pour effectuer des attaques par téléchargement au volant. Le cadre utilise libéralement diverses tactiques d'ingénierie sociale et de manipulation qui mènent les utilisateurs vers le site Web de test infecté. SocGholish tente d'inciter ses cibles à exécuter les fichiers ZIP corrompus qu'elle fournit en prétendant qu'il s'agit de mises à jour légitimes pour le navigateur, Flash ou Microsoft Teams. La principale méthode de livraison consiste à utiliser des iFrames qui superposent un site Web légitime avec une version corrompue à l'insu de l'utilisateur. En tirant parti des iFrames, les pirates peuvent contourner le filtrage Web car les catégories de sites Web sont fournies à partir de catégories légitimes.
Contrairement à certaines des infrastructures au volant détectées précédemment, SocGholish ne s'appuie pas sur les vulnérabilités du navigateur ou n'exploite pas les kits pour infecter ses cibles. Au lieu de cela, il est capable d'exécuter trois techniques différentes. Le premier voit les cybercriminels établir une attaque au point d'eau. Ils ciblent les sites Web à fort trafic et y injectent des iFrames. Les utilisateurs qui visitent les sites déjà falsifiés seront dirigés vers plusieurs redirections jusqu'à ce qu'ils atterrissent sur le site en fournissant un fichier ZIP corrompu. La deuxième technique implique l'injection d'iFrames dans les systèmes de gestion de contenu. Le téléchargement au volant des fichiers corrompus est déclenché via des objets blob JavaScript. La troisième méthode permet à SocGholish d'exploiter à nouveau JavaScript aux côtés de sites.google.com pour générer des liens de téléchargement menant au fichier corrompu de manière dynamique. L'archive ZIP, dans ce cas, est hébergée sur un Google Drive légitime tandis que le téléchargement est lancé par un clic de souris simulé.
Les chercheurs notent que le fichier fourni par l'attaque au volant agit généralement comme une charge utile de première étape. Il est chargé d'analyser le système infecté, de récupérer la charge utile intermédiaire ou la menace finale du logiciel malveillant et de l'exécuter. SocGholish aurait finalement déployé le cheval de Troie bancaire Dridex ou une variante du WastedLocker Ransomware sur l'ordinateur compromis.
