11/08/25
SocGholish, известный также как FakeUpdates, представляет собой JavaScript-загрузчик, распространяемый через взломанные сайты под видом обновлений для популярных браузеров или программ вроде Adobe Flash Player и Microsoft Teams. За атакой стоит группировка TA569, также отслеживаемая как Gold Prelude, Mustard Tempest, Purple Vallhund и UNC1543, пишет Securitylab.
Механизм заражения начинается с установки SocGholish на скомпрометированные устройства, после чего доступ к ним передаётся клиентам, среди которых замечены Evil Corp, LockBit, Dridex и Raspberry Robin. При этом в ряде недавних операций Raspberry Robin использовался уже как канал доставки самого SocGholish. Silent Push отмечает, что сайты могут быть заражены прямой инъекцией JavaScript или через промежуточный скрипт, который затем загружает основной вредонос.
Помимо прямой загрузки с заражённых страниц, существенную роль в распространении играет использование сторонних TDS, таких как Parrot и Keitaro. Эти системы перенаправляют трафик на нужные страницы после глубокой проверки устройства и профиля пользователя. Keitaro TDS известен своей причастностью не только к малвертайзингу, но и к доставке эксплойт-наборов, загрузчиков, программ-вымогателей, а также к операциям по влиянию на аудиторию. В 2023 году выяснилось, что SocGholish совместно с VexTrio использовал Keitaro для перенаправления жертв на TDS VexTrio. При этом сервис имеет и способы безвредного применения, что затрудняет его блокировку без риска ложных срабатываний. Keitaro связывают с TA2726, которая поставляет трафик как для SocGholish, так и для TA2727, зарабатывая на продаже заражённых сайтов с внедрёнными ссылками TDS.
Весь процесс — от внедрения скрипта до запуска вредоноса в системе Windows — контролируется C2 SocGholish. Если цель не соответствует заданным критериям, загрузка прекращается. Анализ также предполагает, что в кампаниях могут участвовать бывшие участники проектов Dridex и Raspberry Robin, что объясняет пересечения в инфраструктуре и тактиках.
