Des centaines de sites d'information américains piratés pour envoyer des logiciels malveillants

Un cadenas blanc sur un fond numérique sombre.
(Crédit photo: Shutterstock.com)

Selon des chercheurs, des centaines de sites Web d'information aux États-Unis ont été compromis pour diffuser des malwares à leurs lecteurs. 

Les experts de Proofpoint ont découvert une campagne de diffusion de logiciels malveillants qui visait une société de médias non spécifiée aux États-Unis, propriétaire de centaines de sites Web appartenant à divers journaux. 

Selon les Proofpoint, certains des sites ont une couverture nationale, d'autres sont de New York, Boston, Chicago, Miami, Washington, D.C., etc. 

De fausses mises à jour du navigateur

Au total, plus de 250 sites Web appartenant à l'entreprise ont été détournés pour diffuser le framework JavaScript malveillant SocGholish. Ces sites diffusent leur contenu aux lecteurs via un code JavaScript bénin. Ce code a été détourné pour diffuser ce que l'on appelle une "menace d'accès initial", qui propose des téléchargements en se faisant passer pour des mises à jour de logiciels.

En d'autres termes, les visiteurs des sites Web étaient invités à télécharger de fausses mises à jour de navigateur livrées sous forme d'archives ZIP.

"La société de médias en question est une entreprise qui fournit du contenu vidéo et de la publicité aux principaux organes de presse. [Elle] dessert de nombreuses entreprises différentes sur différents marchés aux États-Unis", a déclaré à BleepingComputer Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint.

"Proofpoint Threat Research a observé des intrusions par intermittence chez une société de médias qui dessert de nombreux grands organes de presse. Cette société de médias sert du contenu via Javascript à ses partenaires", a déclaré Proofpoint dans un message sur Twitter.

"En modifiant la base de code de ce JS par ailleurs bénin, il est maintenant utilisé pour déployer SocGholish".

Proofpoint a également déclaré que SocGholish peut être utilisé pour lancer des attaques de deuxième niveau, qui pourraient également inclure des infections par ransomware. Il semble que Proofpoint parle ici d'expérience, car Evil Corp, un tristement célèbre acteur de la menace basé en Russie, est connu pour avoir utilisé SocGholish dans des campagnes similaires. Il a même déjà essayé de déployer son ransomware WastedLocker, mais Symantec l'a contrecarré. 

Dans cette situation particulière, il semble que l'attaque soit l'œuvre d'un groupe suivi sous le nom de TA569.

"La situation doit être surveillée de près, car Proofpoint a observé que TA569 réinfecte les mêmes actifs quelques jours seulement après la remédiation", préviennent les chercheurs.

Via: BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.