Источник пишет, что исследователи отлеживают стоящую за этими атаками группу хакеров под идентификатором TA569. Однако неясно, являются ли они широко известной группировкой, которія раньше уже "светилась" в новостях, или это кто-то новый.
Что известно
Хакеры ввели свой код в безвредный файл JavaScript, который загружается на сайты новостных ресурсов. Затем этот файл используется для установки JavaScript-фреймворка SocGholish (также известного как FakeUpdates), заражающего посетителей скомпрометированных сайтов вирусами, обычно замаскированными под поддельные обновления браузера, распространяемые в виде ZIP-архивов (например, Chromе.Urdatе.zip, Chrome.Updater.zip, Firefoх.Uрdatе.zip, Opera.Updаte.zip).
Упомянутая медиакомпания – это фирма, предоставляющая как видеоконтент, так и рекламу крупным новостным агентствам. Она обслуживает множество разных компаний на разных рынках в Соединенных Штатах,
— объясняет Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Proofpoint, обнаружившей систематические инъекции нового кода.
По данным аналитиков, суммарно вредоносное ПО было установлено на сайтах более 250 американских агентств новостей. Некоторые из них крупные и известные организации, однако названия пострадавших ресурсов не раскрываются. Хотя общее количество жертв вируса неизвестно, в Proofpoint заявляют, что среди них есть ведущие издания из Нью-Йорка, Бостона, Чикаго, Майами, Вашингтона.
Стоит отметить, что SocGholish ранее использовался известной русскоязычной группировкой Evil Corp. Нынешняя кампания очень напоминает аналогичную, обнаруженную в 2020 году. Тогда Evil Corp распространяли вирус с помощью поддельных предупреждений о необходимости обновления программного обеспечения, которое рассылается через десятки скомпрометированных сайтов американских газет. Зараженные таким образом машины позже использовались в качестве точки входа в корпоративные сети, где злоумышленники разворачивали вымогателя WastedLocker.