Los poderes del marco de ataque &#39SocGholish&#39 surgen en …



El equipo de investigación de Menlo Labs dice que el conjunto de herramientas de ingeniería social de framework ayuda a los delincuentes a hacerse pasar por actualizaciones de program.

Los ataques de descarga automática han aumentado en los últimos dos meses, gracias a un marco de ataque altamente activo que los investigadores de seguridad han denominado «SocGholish» por su amplio uso de herramientas y técnicas de ingeniería social. SocGholish se hace pasar por actualizaciones legítimas del navegador, Flash y Microsoft Teams para engañar a los usuarios para que ejecuten archivos ZIP maliciosos que se colocan automáticamente en sus equipos cuando una visita a un sitio infectado provoca una descarga no autorizada.

Los atacantes de SocGholish alojan y sirven las descargas maliciosas aprovechando iFrames para ofrecer sitios world wide web comprometidos a través de un sitio website legítimo.

«Debido a que el archivo está alojado en un iframe dentro de un sitio legítimo, se engaña a los usuarios para que piensen que el archivo proviene de una fuente legítima y se les anima a descargar y ejecutar el archivo», dijo Krishnan Subramanian, investigador de seguridad de Menlo Stability, en un nota de investigación hoy.

Esta técnica de iFrame ayuda a los atacantes a terminar con el filtrado website básico basado en categorías de sitios web, ya que provienen de categorías legítimas.

Los mecanismos de descarga push-by utilizados por el marco de SocGholish no involucran explotaciones del navegador o kits de explotación para entregar cargas útiles. En cambio, utiliza tres técnicas principales. El primero es usar ataques de abrevadero colocando iFrames en sitios con clasificaciones de Alexa relativamente altas y luego enviando a los usuarios a través de una serie de redireccionamientos enrutados a través de servicios de alojamiento en la nube comunes hasta llegar a un archivo ZIP malicioso servido desde una cuenta de Amazon S3.

La segunda técnica consiste en comprometer los sitios alojados en sistemas de gestión de contenido como WordPress para incrustar iFrames que utilizan blobs de JavaScript para activar la descarga.

«Dado que toda la carga útil se construye dentro del punto closing, este método se united states comúnmente para contrabandear cargas útiles y eludir los proxies de purple heredados y las cajas de arena», escribió Subramanian.

La tercera técnica de SocGholish es aprovechar websites.google.com y JavaScript para crear dinámicamente un elemento de enlace de descarga que apunta a un archivo ZIP alojado en un enlace legítimo de Google Push y luego simular un clic para activar la descarga.

Subramanian explicó que SocGholish se united states of america para obtener acceso inicial a los puntos finales su equipo ha observado que se utiliza para distribuir el troyano bancario Dridex y el ransomware WastedLocker, entre otros.

Las descargas automáticas han sido una espina en los costados de los defensores de la seguridad durante muchos años y siguen siendo una técnica predominante para afianzarse en los sistemas de terminales. El informe de SocGholish llega solo una semana después de que los investigadores de Microsoft detallado El uso desenfrenado de descargas no autorizadas por parte del malware Adrozek para impulsar una campaña de ataque, que se desarrolló desde mayo hasta septiembre de 2020 y utilizó 159 dominios únicos para distribuir cientos de miles de muestras de malware únicas.

Si bien los principales desarrolladores de navegadores han tomado medidas para frustrar estas técnicas, los atacantes siguen innovando. En el caso de SocGholish, el marco evita las características de seguridad en Chrome y Firefox que bloquean automáticamente las descargas de iFrames en espacio aislado inyectando iFrames sin el atributo de espacio aislado especificado.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Darkish Examining. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic