Злочинне угруповання захоплює сотні новинних веб-сайтів США

За даними компанії з кібербезпеки Proofpoint, група кіберзлочинців скомпрометувала постачальника медіа-контенту, щоб розмістити зловмисне програмне забезпечення на веб-сайтах сотень новинних видань у США.

Про це пише сайт новин Волині «Конкурент» з посиланням на Techcrunch.com.

Зловмисники, яких Proofpoint відстежує як «TA569», скомпрометували медіаорганізацію, щоб поширити SocGholish, спеціальне зловмисне програмне забезпечення, яке активно працює принаймні з 2018 року.

Медіакомпанія, про яку йдеться, не називається, але вона була повідомлена і, як стверджується, проводить розслідування. Шеррод ДеГріппо, віце-президент із дослідження та виявлення загроз у Proofpoint, розповідає TechCrunch, що організація надає «як відеовміст, так і рекламу основним новинним виданням». ДеГріппо додав, що постраждали 250 сайтів національних газет США та регіональних веб-сайтів, у тому числі медіа-організації, що обслуговують Бостон, Чикаго, Цинциннаті, Маямі, Нью-Йорк, Палм-Біч і Вашингтон, округ Колумбія.

Незрозуміло, як неназвану медіакомпанію було скомпрометовано, але ДеГріппо додав, що TA569 «має продемонстровану історію компрометації систем керування контентом і облікових записів хостингу».

Новина про викрадення сайту вперше з’явилася в Твіттері в середу.

Зловмисне програмне забезпечення SocGholish впроваджується у безпечний файл JavaScript, який завантажується веб-сайтами новинних видань, що спонукає відвідувача веб-сайту завантажити фальшиве оновлення програмного забезпечення. У цій кампанії запит приймає форму оновлення веб-переглядача для Chrome, Firefox, Internet Explorer, Edge або Opera.

«Якщо жертва завантажить і виконає це «фальшиве оновлення», вона буде заражена корисним навантаженням SocGholish», – сказав ДеГріппо. «Цей ланцюжок атак вимагає взаємодії з кінцевим користувачем у двох точках: прийняття завантаження та виконання завантаження вірусу».

Згідно з Proofpoint, SocGholish є «первинною загрозою для доступу», яка в разі успішного встановлення історично слугувала попередником програм-вимагачів. Кінцевою метою учасників загрози, за словами компанії, є фінансова вигода.

Proofpoint повідомляє TechCrunch, що «оцінює з високою впевненістю», що TA569 пов’язаний з WastedLocker, варіантом програми-вимагача, розробленим групою Evil Corp, яка знаходиться під санкціями США. Компанія додала, що не вважає TA569 Evil Corp, а скоріше діє як посередник уже зламаних пристроїв для хакерської групи.

На початку цього року було виявлено, що Evil Corp використовує модель програм-вимагачів як послуг, намагаючись обійти санкції США. У грудні 2019 року банда була піддана санкціям через широку розробку шкідливого програмного забезпечення Dridex, за допомогою якого викрала понад 100 мільйонів доларів із сотень банків і фінансових установ.

ЧИТАЙТЕ ТАКОЖ:

• Як розпізнати, що комп'ютер чи смартфон зламали: поради Держспецзв’язку
• У Фінляндії запустили найшвидший в Європі суперкомп'ютер
• У США вперше визнали, що допомагають Україні кібератаками