Se ha observado que los actores de amenaza detrás de los sistemas de entrega de tráfico (TDSS) de malware de Socgholish, como TDS Parrot y Keitaro TDS para filtrar y redirigir a los usuarios desprevenidos a contenido aproximado.
«El núcleo de sus operaciones es el modelo de malware como modelo de servicio (MAAS), con sistemas infectados que se venden ya que el acceso temprano apunta a otras organizaciones de delitos cibernéticos», dijo Silent Push en el análisis.
Socgholish, también conocido como FakeUpdates, es un malware de cargador JavaScript distribuido a través de sitios web comprometidos al asumir actualizaciones engañosas de navegadores web como Google Chrome y Mozilla Firefox, así como otros software como Adobe Flash Player y Microsoft Teams como actualizaciones engañosas. Esto se debe a un actor de amenaza llamado TA569, también rastreado como preludio de oro, tempestad de mostaza, púrpura Vallhund y UNC1543.
La cadena de ataque implica la implementación de Socgholish para establecer el acceso temprano y los corredores que han comprometido el acceso al sistema a una variedad de clientes, incluido Evil Corp (también conocido como Dev-0243), Lockbit, Didex y Raspberry Robin (también conocido como Roshtyak). Curiosamente, las campañas recientes han utilizado Raspberry Robin como vector de distribución para Socgholish.
«Las infecciones sociales generalmente provienen de sitios web comprometidos que han sido infectados de varias maneras», dice Silent Push. «La infección en un sitio web implica inyecciones directas, en este caso inyectas JS a través de una versión de inyección directa que carga las inyecciones asociadas usando JS cargado directamente desde la página web infectada o del archivo JS asociado».
Además de redirigir a un dominio de Socgholish a través de sitios web comprometidos, otra fuente principal de tráfico es utilizar TDS de terceros, como Parrot TD y Keitaro TDS para realizar huellas digitales extensas de visitantes del sitio, realizar preespecificaciones específicas, implementar el tráfico web, luego dirigir el tráfico web a la página de destino para determinar si se trata de interesar basado en un criterio definido específico.
Keitaro TDS ha estado involucrado durante mucho tiempo en actividades de amenazas más allá del fraude y el fraude para proporcionar malware más sofisticado, incluidos kits de exploits, cargadores, ransomware y operaciones de impacto ruso. El año pasado, Informlox reveló que el socio de Vextrio, Socgholish, redirigió a la víctima a TDSE de Vextrio usando Keirolo.
«Keitaro también tiene muchas aplicaciones legítimas, por lo que las organizaciones pueden considerar esto en sus propias políticas, pero bloquear el tráfico a través de los servicios sin generar falsos positivos excesivos a menudo es difícil o imposible», dijo Proofpoint en 2019.
Se cree que Keitaro TDS está conectado al TA2726, que actúa como proveedor de tráfico tanto para Socgholish como para TA2727 al violar el sitio web, inyectando el enlace de Keitaro TDS y vendiéndolo a los clientes.
«El marco intermedio C2 (comando y control) genera dinámicamente las cargas que las víctimas se descargan en tiempo de ejecución», dice Silent Push.
«Es esencial tener en cuenta que a lo largo del marco de ejecución, desde la inyección inicial de Socgholish hasta la ejecución en el dispositivo de Windows Implant, todo el proceso es continuamente rastreado por el marco C2 de Socgholish. En cualquier momento, si el marco decide que una víctima determinada» no es legal y deja de servir pagos «.
Las compañías de ciberseguridad también calificaron que puede haber ex miembros involucrados en Dridex, Raspberry Robin y Sokolish, dada la naturaleza superpuesta de la campaña observada.
El desarrollo ha detallado la versión actualizada de Raspberry Robin, con mejores métodos de ofuscación, cambios en el proceso de comunicaciones de red, apuntando a dominios Tor C2 corruptos intencionalmente, evitando la detección y obstaculizando los esfuerzos de ingeniería inversa.
«El algoritmo de cifrado de red se ha cambiado de AES (modo CTR) a Chacha-20», dijo la compañía. «Raspberry Robin ha agregado una nueva exploit de escalada de privilegios locales (LPE) (CVE-2024-38196) para aumentar los privilegios en el sistema objetivo».
Esta divulgación continúa con la evolución de Darkcloud Stealer Attack, que proporciona una versión protegida confusada de la carga útil de Stealer escrita en Visual Basic 6, que utiliza correos electrónicos de phishing para lanzar y ejecutar utilizando una técnica llamada Process Hollowing.
«Darkcloud Stealer es típico de la evolución de las amenazas cibernéticas y aprovecha técnicas de ofuscación y estructuras complejas de carga útil para evitar mecanismos de detección tradicionales», dijo la unidad 42. «Los cambios en los métodos de entrega observados en abril de 2025 indican una estrategia de evasión en evolución».
Source link
