Il team di Threat Research di Proofpoint segnala la presenza di una campagna malware rivolta al settore dei media scoperta attraverso l’osservazione di iniezioni intermittenti di malware in una media company che serve molte importanti testate giornalistiche, con la fornitura di contenuti tramite Javascript ai partner. Un team cybercriminale ha trovato il modo di modificare la base di codice di questo Javascript, altrimenti benigno, per distribuire SocGholish.
I ricercatori Proofpoint hanno identificato questo attore come TA569.
Questo il commento di Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint: “Già in passato, TA569 ha sfruttato risorse multimediali per distribuire SocGholish, malware che può portare a infezioni successive, compreso un potenziale ransomware. La situazione deve essere monitorata attentamente, poiché abbiamo osservato TA569 reinfettare gli stessi asset pochi giorni dopo la bonifica. Risolvere il problema una volta non è sufficiente. Vale la pena ricordare che la sicurezza dei siti web si basa su una rete di attività e servizi che coinvolge anche terze parti e che, per quanto robusta sia la sicurezza di un’organizzazione, è valida solo quanto gli asset indipendenti introdotti in azienda”.
L’attoreTA569 che prende di mira il settore dei media, ha storicamente rimosso e reinserito questi JS maligni a rotazione. Pertanto, la presenza del payload e del contenuto dannoso può variare di ora in ora e non dovrebbe essere considerata un falso positivo.
Più di 250 siti giornalistici regionali e nazionali hanno avuto accesso al Javascript pericoloso e il numero effettivo di host colpiti è noto solo all’azienda media coinvolta.
