Il team di Threat Research della società di sicurezza informatica Proofpoint ha osservato iniezioni intermittenti di malware in una media company che serve molte importanti testate giornalistiche, con la fornitura di contenuti tramite Javascript ai partner.
Un team cybercriminale ha trovato il modo di modificare la base di codice di questo Javascript, altrimenti benigno, per distribuire SocGholish.
I ricercatori Proofpoint hanno identificato questo attore di minacce come TA569.
Questo il commento di Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint:
“Già in passato, TA569 ha sfruttato risorse multimediali per distribuire SocGholish, malware che può portare a infezioni successive, compreso un potenziale ransomware.
La situazione deve essere monitorata attentamente, poiché abbiamo osservato TA569 reinfettare gli stessi asset pochi giorni dopo la bonifica. Risolvere il problema una volta non è sufficiente.
Vale la pena ricordare che la sicurezza dei siti web si basa su una rete di attività e servizi che coinvolge anche terze parti e che, per quanto robusta sia la sicurezza di un’organizzazione, è valida solo quanto gli asset indipendenti introdotti in azienda”.
TA569 ha storicamente rimosso e reinserito questi JS maligni a rotazione. Pertanto, la presenza del payload e del contenuto dannoso può variare di ora in ora e non dovrebbe essere considerata un falso positivo, hanno sottolineato gli esperti di cybersecurity di Proofpoint.
Più di 250 siti giornalistici regionali e nazionali hanno avuto accesso al Javascript pericoloso e il numero effettivo di host colpiti è noto solo all’azienda media coinvolta.
Ulteriori informazioni sulle attività del team di Threat Research di Proofpoint sono disponibili sul profilo Twitter del team.