Этот вирус сам решает, кого заразить. Возможно, он уже выбрал вас

SocGholish Keitaro TDS Parrot TDS Raspberry Robin DarkCloud Stealer TA569 VexTrio
Этот вирус сам решает, кого заразить. Возможно, он уже выбрал вас
SocGholish Keitaro TDS Parrot TDS Raspberry Robin DarkCloud Stealer TA569 VexTrio

Один апдейт — и ваша ОС интереснее, чем в ЦРУ.

image

Группировка, стоящая за вредоносным ПО SocGholish, активизировала использование систем распределения трафика Parrot TDS и Keitaro TDS для фильтрации посетителей и перенаправления их на вредоносные ресурсы. По данным компании Silent Push, основа их деятельности — это модель MaaS , при которой доступ к уже заражённым устройствам продаётся другим киберпреступным группировкам. SocGholish, известный также как FakeUpdates , представляет собой JavaScript-загрузчик, распространяемый через взломанные сайты под видом обновлений для популярных браузеров или программ вроде Adobe Flash Player и Microsoft Teams. За атакой стоит группировка TA569, также отслеживаемая как Gold Prelude, Mustard Tempest, Purple Vallhund и UNC1543.

Механизм заражения начинается с установки SocGholish на скомпрометированные устройства, после чего доступ к ним передаётся клиентам, среди которых замечены Evil Corp, LockBit, Dridex и Raspberry Robin. При этом в ряде недавних операций Raspberry Robin использовался уже как канал доставки самого SocGholish. Silent Push отмечает, что сайты могут быть заражены прямой инъекцией JavaScript или через промежуточный скрипт, который затем загружает основной вредонос.

Помимо прямой загрузки с заражённых страниц, существенную роль в распространении играет использование сторонних TDS, таких как Parrot и Keitaro. Эти системы перенаправляют трафик на нужные страницы после глубокой проверки устройства и профиля пользователя. Keitaro TDS известен своей причастностью не только к малвертайзингу, но и к доставке эксплойт-наборов, загрузчиков, программ-вымогателей, а также к операциям по влиянию на аудиторию. В 2023 году выяснилось, что SocGholish совместно с VexTrio использовал Keitaro для перенаправления жертв на TDS VexTrio. При этом сервис имеет и легальные сценарии применения, что затрудняет его блокировку без риска ложных срабатываний. Keitaro связывают с TA2726, которая поставляет трафик как для SocGholish, так и для TA2727 , зарабатывая на продаже заражённых сайтов с внедрёнными ссылками TDS.

Трафик проходит через промежуточную инфраструктуру C2, которая в реальном времени формирует полезную нагрузку для жертвы. Весь процесс — от внедрения скрипта до запуска вредоноса в системе Windows — контролируется C2 SocGholish. Если цель не соответствует заданным критериям, загрузка прекращается. Анализ также предполагает, что в кампаниях могут участвовать бывшие участники проектов Dridex и Raspberry Robin, что объясняет пересечения в инфраструктуре и тактиках.