Le logiciel malveillant SocGholish utilise des sites compromis pour diffuser des rançongiciels

Selon une nouvelle étude de Trustwave SpiderLabs, une société de LevelBlue, une menace de cybersécurité généralisée appelée SocGholish transforme les mises à jour logicielles de base en un piège mondial pour les victimes.
Cette menace avancée, également connue sous le nom de FakeUpdates , n'est pas un simple code malveillant ; SocGholish fonctionne comme une plateforme sophistiquée de Malware-as-a-Service ( MaaS ). Ce service permet à ses affiliés d'utiliser le réseau SocGholish pour diffuser des logiciels malveillants puissants (comme des rançongiciels) et voler des informations sensibles à des entreprises du monde entier. SocGholish serait actif depuis 2017.
L'opération est menée par un groupe de cybercriminels connu sous le nom de TA569. Leur méthode d'attaque est simple mais très efficace : une simple mise à jour logicielle, comme celle d'un navigateur web ou de Flash Player, incite les utilisateurs à télécharger des fichiers malveillants.
Pour mener l'attaque initiale, TA569 compromet des sites web légitimes et injecte des scripts malveillants, ciblant fréquemment des sites WordPress vulnérables en exploitant des faiblesses telles que des comptes « wp-admin » compromis. Les criminels utilisent également une technique appelée « Domain Shadowing », qui consiste à créer secrètement des sous-domaines malveillants sur des sites web de confiance afin d'échapper aux contrôles de sécurité.
Des recherches révèlent que TA569 offre l'accès aux méthodes d'infection de SocGholish à d'autres groupes criminels, moyennant finance, en agissant comme intermédiaire d'accès initial (IAB). Leur motivation est principalement financière, leur modèle économique consistant à permettre à d'autres de tirer profit des attaques. L'un des groupes les plus connus utilisant SocGholish est Evil Corp, une organisation cybercriminelle russe liée aux services de renseignement russes.
Concernant les activités récentes, les chercheurs de Trustwave ont constaté qu'au début de l'année 2025, la plateforme avait été utilisée pour diffuser le rançongiciel actif RansomHub , ce qui a conduit à de récentes attaques à fort impact dans le secteur de la santé. Par exemple, RansomHub a utilisé SocGholish pour diffuser des publicités Google malveillantes se faisant passer pour le portail RH de Kaiser Permanente, ce qui a conduit à des attaques ultérieures contre Change Healthcare et Rite Aid.
Les chercheurs ont également identifié un lien sponsorisé par l'État, car il existait un lien avec le gouvernement russe par l'intermédiaire de son agence de renseignement militaire, l'unité GRU 29155, avec l'une de ses charges utiles, le ver Raspberry Robin , observé en train d'être distribué par SocGholish.
Cela prouve l'impact considérable de SocGholish en convertissant une infrastructure Web de confiance « en un vecteur d'infection », explique Cris Tomboc, analyste du renseignement sur les cybermenaces chez Trustwave, dans le billet de blog partagé avec Hackread.com.
Les opérateurs utilisent des systèmes de distribution du trafic (TDS) comme Keitaro et Parrot TDS pour filtrer les victimes en fonction de facteurs tels que leur localisation ou les paramètres du système, garantissant « que seules les cibles prévues sont exposées à la charge utile », indique le rapport.
Une fois un système infecté, le logiciel malveillant peut propager un large éventail de menaces. Parmi les charges utiles, on compte plusieurs familles de rançongiciels, comme LockBit et RansomHub, des chevaux de Troie d'accès à distance (RAT) comme AsyncRAT , et divers programmes de vol de données.
Il s’agit d’une découverte importante, car elle révèle que la capacité de SocGholish à s’adapter à diverses cibles et à transformer des sites Web légitimes en plates-formes de distribution de logiciels malveillants à grande échelle confirme son statut de menace critique pour les organisations du monde entier.
HackRead