Хакери заразили вірусом сотні новинних сайтів у США

Джерело пише, що дослідники відлежують групу хакерів, що стоїть за цими атаками, під ідентифікатором TA569. Однак неясно, чи це якесь відоме угруповання, яке раніше вже "світилося" в новинах, чи хтось новий.

Цікаво Питання безпеки: яка операційна система краще захистить ваші біометричні та персональні дані

Що відомо

Хакери впровадили свій код у нешкідливий файл JavaScript, який завантажується на сайти ресурсів новин. Потім цей файл використовується для встановлення JavaScript-фреймворку SocGholish (також відомого як FakeUpdates), що заражає відвідувачів скомпрометованих сайтів вірусами, зазвичай замаскованими під підроблені оновлення браузера, що розповсюджуються у вигляді ZIP-архівів (наприклад, Chromе.Urdatе.zip, Chrome.Updater.zip, Firefoх.Uрdatе.zip, Opera.Updаte.zip). 

Згадана медіакомпанія – це фірма, яка надає як відеоконтент, так і рекламу великим агентствам новин. Вона обслуговує безліч різних компаній на різних ринках у Сполучених Штатах,
— пояснює Шеррод ДеГріппо, віцепрезидент із дослідження та виявлення загроз у Proofpoint, яка виявила систематичні ін'єкції нового коду.

За даними аналітиків, сумарно шкідливе ПЗ було встановлено на сайтах більш ніж 250 американських агентств новин. Деякі з яких є великими й відомими організаціями, однак назви постраждалих ресурсів не розкриваються. Хоча загальна кількість жертв віруса невідома, у Proofpoint заявляють, що серед них є провідні видання з Нью-Йорка, Бостона, Чикаго, Майамі, Вашингтона тощо.

Варто зазначити, що SocGholish раніше використовувався відомим російськомовним угрупуванням Evil Corp. Нинішня кампанія дуже нагадує аналогічну, виявлену в 2020 році. Тоді Evil Corp поширювали вірус за допомогою підроблених попереджень про необхідність оновити програмне забезпечення, яке розсилається через десятки скомпрометованих сайтів американських газет. Заражені таким чином машини пізніше використовувалися як точка входу в корпоративні мережі, де зловмисники розгортали здирника WastedLocker.