I ricercatori di Proofpoint hanno scoperto una nuova campagna in cui gli aggressori utilizzano l’infrastruttura compromessa di una società di media statunitense per distribuire il framework SocGholish (noto anche come FakeUpdates) sui siti web di notizie statunitensi.

La società di media senza nome fornisce contenuti video e pubblicità alle principali testate giornalistiche. L’azienda serve diverse aziende negli Stati Uniti.

Un utente malintenzionato rintracciato da Proofpoint come TA569 ha iniettato codice dannoso in un file JavaScript sicuro che viene caricato dai siti web dei notiziari. 

Questo file dannoso viene utilizzato per installare SocGholish.

Il framework SocGholish infetta i visitatori di un sito compromesso con malware camuffato da falsi aggiornamenti del browser forniti come archivi ZIP (come Chrome.Urdate.zip) tramite false notifiche di aggiornamento.

Il malware è stato installato sui siti Web di oltre 250 testate giornalistiche statunitensi, alcune delle quali tra le principali testate giornalistiche. 

Sebbene il numero totale di media interessati sia attualmente sconosciuto, Proofpoint afferma di essere a conoscenza dei media interessati a New York, Boston, Chicago, Miami, Washington DC e altri paesi.

Secondo gli esperti, la situazione deve essere attentamente monitorata, poiché TA569 reinfetta gli stessi oggetti diversi giorni dopo che sono stati ripristinati.

In precedenza, è stata scoperta una campagna di distribuzione del ransomware Magniber che utilizzava aggiornamenti di Windows falsi. 

Gli archivi ZIP dannosi scaricati contengono file JavaScript che avviano l’infezione da malware.