Cientos de sitios web de noticias en los EE. UU. se han visto comprometidos para entregar malware a sus lectores, dicen los investigadores.
Expertos de Proofpoint descubrieron un malware (se abre en una pestaña nueva) campaña de distribución dirigida a una empresa de medios no identificada en los EE. UU. que posee cientos de sitios web pertenecientes a varios periódicos.
Supuestamente, algunos de los sitios son nacionales, otros son de Nueva York, Boston, Chicago, Miami, Washington, DC y otros.
Actualizaciones falsas del navegador
En general, más de 250 sitios web propiedad de la empresa fueron secuestrados para entregar el marco de malware SocGholish JavaScript. Estos sitios entregan su contenido a los lectores a través de un código JavaScript benigno. Ese código fue secuestrado para entregar lo que se conoce como «amenaza de acceso inicial», que impulsa las descargas ocultas que fingen ser actualizaciones de software.
En otras palabras, se solicitará a los visitantes del sitio web que descarguen actualizaciones de navegador falsas entregadas como archivos ZIP.
«La empresa de medios en cuestión es una empresa que proporciona contenido de video y publicidad a los principales medios de comunicación. [It] atiende a muchas empresas diferentes en diferentes mercados en los Estados Unidos», dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint. BleepingEquipo.
«Proofpoint Threat Research ha observado inyecciones intermitentes en una empresa de medios que atiende a muchos de los principales medios de comunicación. Esta empresa de medios ofrece contenido a través de Javascript a sus socios», dijo Proofpoint en una publicación de Twitter.
«Al modificar el código base de este JS, que de otro modo sería benigno, ahora se usa para implementar SocGholish».
Proofpoint también dijo que SocGholish se puede usar para lanzar ataques de etapa dos, que también podrían incluir infecciones de ransomware. Parece estar hablando por experiencia aquí, ya que Evil Corp, un infame actor de amenazas con sede en Rusia, es conocido por usar SocGholish en campañas similares. Una vez incluso intentó implementar su ransomware WastedLocker, pero Symantec lo frustró.
En esta situación particular, parece que el ataque es obra de un grupo rastreado como TA569.
«La situación debe monitorearse de cerca, ya que Proofpoint ha observado que TA569 reinfecta los mismos activos solo unos días después de la remediación», advirtieron los investigadores.
- Aquí está nuestro resumen de los mejores cortafuegos (se abre en una pestaña nueva) disponible hoy
Vía: BleepingComputer (se abre en una pestaña nueva)