После взлома сотни новостных сайтов США начали рассылать вредоносное ПО
Сотни американских новостных сайтов были скомпрометированы и начали рассылать вредоносное ПО своим читателям. Эксперты компании по обеспечению безопасности предприятий Proofpoint обнаружили кампанию по распространению фреймворка SocGholish, нацеленную на неназванную медиа-организацию в США.
Вероятно, часть этих порталов являются национальными, а другие — из Нью-Йорка, Бостона, Чикаго, Вашингтона, Майами и других городов.
В общей сложности злоумышленники взломали более 250 сайтов для распространения SocGholish. Данные порталы предоставляют свой контент при помощи кода JavaScript, который взломали хакеры. После этого на устройства пользователей начал загружаться софт под видом обновления ПО. Читателям новостей предложили скачать поддельные патчи, якобы содержащиеся в ZIP-архивах.
Cодержимое вредоносного файла JavaScript
Неназванная медиакомпания обслуживает ряд различных компаний на разных рынках США, заявил вице-президент по исследованию и обнаружению угроз в Proofpoint Шеррод ДеГриппо. Эта компания предоставляет своим партнёрам контент через JavaScript. Злоумышленники изменили код, чтобы развернуть SocGholish.
Исследователи рассказали, что данное ПО возможно использовать для заражения устройств программами-вымогателями. Данный вредоносный софт использовала российская хакерская группировка Evil Corp.
Специалисты полагают, что за атакой стоит группа, которую Proofpoint отслеживает как TA569.