TA569 può essere considerato il “capostipite” di una tipologia di minaccia che compromette i siti web e utilizza sistemi di reindirizzamento del traffico (TDS) per condurre i visitatori verso il malware. A volte denominato “FakeUpdates”, i suoi web inject SocGholish simulano aggiornamenti di sicurezza del browser per indurre con l’inganno gli utenti a scaricare malware, portando spesso a successivi attacchi ransomware.
Quella che era nata come una tecnica utilizzata solo da un limitato numero di attori di minacce – resa popolare e innovata da TA569, ovvero i web inject -, è diventata comune utilizzata da numerosi cluster di minacce oltre all’ecosistema di TA569, tra cui ClearFake, ZPHP ed ErrTraffic.
Ma l’attore originale è ora nel mirino delle forze dell’ordine, le quali hanno annunciato oggi, una massiccia interruzione delle sue attività. Insieme, Paesi Bassi (NHCTU), Canada (RCMP), Stati Uniti (FBI) e Germania (BKA), con il supporto di Europol, hanno preso di mira l’infrastruttura criminale di SocGholish durante un’ azione congiunta durata una settimana.
L’operazione ha consentito di smantellare oltre 100 server e domini in tutto il mondo e di bonificare 14.971 siti web, servendo a neutralizzare la botnet SocGholish.
Per evidenziare ulteriormente le azioni e l’impatto di SocGholish, le forze dell’ordine hanno pubblicato un video sul sito di Operation Endgame.
