Selon des chercheurs, des centaines de sites Web d'information aux États-Unis ont été compromis pour diffuser des malwares à leurs lecteurs.
Les experts de Proofpoint ont découvert une campagne de diffusion de logiciels malveillants qui visait une société de médias non spécifiée aux États-Unis, propriétaire de centaines de sites Web appartenant à divers journaux.
Selon les Proofpoint, certains des sites ont une couverture nationale, d'autres sont de New York, Boston, Chicago, Miami, Washington, D.C., etc.
De fausses mises à jour du navigateur
Au total, plus de 250 sites Web appartenant à l'entreprise ont été détournés pour diffuser le framework JavaScript malveillant SocGholish. Ces sites diffusent leur contenu aux lecteurs via un code JavaScript bénin. Ce code a été détourné pour diffuser ce que l'on appelle une "menace d'accès initial", qui propose des téléchargements en se faisant passer pour des mises à jour de logiciels.
En d'autres termes, les visiteurs des sites Web étaient invités à télécharger de fausses mises à jour de navigateur livrées sous forme d'archives ZIP.
"La société de médias en question est une entreprise qui fournit du contenu vidéo et de la publicité aux principaux organes de presse. [Elle] dessert de nombreuses entreprises différentes sur différents marchés aux États-Unis", a déclaré à BleepingComputer Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint.
"Proofpoint Threat Research a observé des intrusions par intermittence chez une société de médias qui dessert de nombreux grands organes de presse. Cette société de médias sert du contenu via Javascript à ses partenaires", a déclaré Proofpoint dans un message sur Twitter.
> Ce ransomware vole vos bases de données et menace de vous dénoncer pour violation du RGPD
> Cet outil incroyablement pratique de Google Chrome contribuerait à dérober vos identifiants et mots de passe
> Les meilleures protections contre les ransomwares en 2022 : quels outils payants ou gratuits choisir ?
"En modifiant la base de code de ce JS par ailleurs bénin, il est maintenant utilisé pour déployer SocGholish".
Proofpoint a également déclaré que SocGholish peut être utilisé pour lancer des attaques de deuxième niveau, qui pourraient également inclure des infections par ransomware. Il semble que Proofpoint parle ici d'expérience, car Evil Corp, un tristement célèbre acteur de la menace basé en Russie, est connu pour avoir utilisé SocGholish dans des campagnes similaires. Il a même déjà essayé de déployer son ransomware WastedLocker, mais Symantec l'a contrecarré.
Dans cette situation particulière, il semble que l'attaque soit l'œuvre d'un groupe suivi sous le nom de TA569.
"La situation doit être surveillée de près, car Proofpoint a observé que TA569 réinfecte les mêmes actifs quelques jours seulement après la remédiation", préviennent les chercheurs.
- Les meilleurs navigateurs web avec un VPN intégré : visitez tous les sites du monde en toute sécurité
- Les meilleurs outils anti-malware de 2022 : un véritable arsenal pour tous les budgets
- Meilleurs antivirus 2022 : quelle solution gratuite, premium ou business choisir ?
Via: BleepingComputer
