Ameaça cibernética Ativa: Malware SocGholish

[TLP:CLEAR]

Ameaça cibernética Ativa: Malware SocGholish

Resumo

O SocGholish, também conhecido como FakeUpdates, classifica-se como um malware, da subcategoria dos trojans, que utiliza do phishing para ser disseminado e busca comprometer o navegador da vítima. Promove um redirect, direcionando o usuário atingido para um sites falsos, que imitam páginas de login de instituições financeiras ou organizações confiáveis ou são sítios eletrônicos comprometidos, o malware captura as credenciais da vítima durante tentativas de login. O malware é de difícil detecção por antivírus e pode ser usado para roubar credenciais de várias contas e distribuir outros malwares, como ransomware e malware de mineração de criptomoedas.

Perfil de Ataque

O SocGholish inicia seu ataque por meio do phishing. Invasores enviam e-mails fraudulentos, normalmente, fingindo ser de instituições financeiras, solicitando atualização de informações de login. Esses e-mails incluem links para sites falsos, replicando as páginas reais de login.

O ataque com o malware permite o JavaScript ser executado via Windows Script Host e estabelece conexões à Rede Externa. Embora o JavaScript seja muito utilizado, não é comum que o navegador faça o download de um arquivo JavaScript e o execute por meio do Windows Script Host (wscript.exe). Esse script baixado inicia comunicação com dispositivos fora da rede. Cabe notar que essa análise pode gerar alertas excessivos em alguns ambientes, sendo necessário identificar quais scripts são normalmente executados.

Os arquivos de script de payload do malware permitem realizar reconhecimento com whoami e grava a Saída. O SocGholish roda diversos comandos de reconhecimento em scripts. Embora grande parte dessa atividade ocorra na memória, destaca-se a execução do comando whoami, com a saída redirecionada para um arquivo temporário local.

O malware executa a enumeração de Domínios com nltest.exe. O SocGholish pode levar à descoberta de domínios. Esse comportamento frequentemente precede atividades de ransomware e deve ser contida para evitar a evolução da ameaça.

As técnicas utilizadas pelo SocGholish para coletar dados, como endereço IP, sistema operacional, navegador e idioma local, tornam a detecção complexa demais para muitas soluções de segurança de e-mail. O SocGholish também emprega táticas de evasão que são conscientes de ambientes de sandbox, evitando manifestar-se se detectar um ambiente simulado, como o de um analista de ameaças. Além disso, soluções que afirmam usar análise de IA para segurança de e-mails também enfrentam dificuldades na detecção do SocGholish, pois o corpo da mensagem de e-mail não é maliciosa e não seria considerada anômala com base em padrões de envio anteriores. Cabe, ainda, analisar a atividade de rede para identificar comportamentos maliciosos associados ao malware, como comunicações com proxies de C2 (comando e controle). Além disso, observar:

• redirecionamentos para serviço DNS suspeitos;
• o malware utiliza scripts comprometidos que exploram vulnerabilidades.

Todavia, os comportamentos de injeção assemelham-se a padrões observados em campanhas maliciosas similares, complicando ainda mais a detecção e mitigação.

O SocGholish apresenta desafios para detecção devido às suas técnicas de de ofuscação e evasivas e à capacidade de evitar ambientes simulados. Suas comunicações e redirecionamentos podem parecer não maliciosos. A análise detalhada da atividade de rede e comportamentos de injeção é importante para compreender e mitigar efetivamente a ameaça do SocGholish.

 

Análise do Diamond Model

• Objetivos do Adversário: O malware visa roubar credenciais das vítimas.
• Infraestrutura da Ameaça:phishing e sites falsos como principais ferramentas. O SocGholish também pode ser utilizado por grupos ligados ao ransomware. Os operadores possuem ambientes de C2.
• Vulnerabilidades: Vítimas podem apresentar vulnerabilidades, como falta de treinamento/conscientização e ausência de soluções de segurança eficazes.
• Infraestrutura: Ataques podem ocorrer em organizações com funcionários remotos ou infraestruturas de TI de diversas topologias.

 

Uso como vetor de ataque para Ransomware

Pela sua capacidade de coleta de credenciais e conexão com o C2, favorece a exfiltração de dados e o envio de payload, portanto é possível estar sendo utilizado por grupos de ransomware que empregam ransomware-como-serviço e a dupla extorsão.

 

Táticas, Técnicas e Procedimentos (TTPs)

As TTPs do SocGholish abrangem:

• Phishing: Envio de e-mails fraudulentos se passando por instituições confiáveis.
• Uso de Sites Falsos: Criação de páginas de login falsas que imitam instituições financeiras.
• Captura de Credenciais: Registro das credenciais quando a vítima tenta fazer login no site falso.
• Recomendações
• Treinamento Anti-Phishing: Promover treinamento para conscientizar os funcionários sobre os perigos do phishing.
• E-mail Seguro: Implementar uma solução robusta para detectar e bloquear e-mails de phishing.
• Segurança de Endpoint: Reforçar medidas para detectar e remover malware nos endpoints.
• Segurança de Rede: Adotar solução para identificar e bloquear tráfego malicioso.
• Segurança de Nuvem: Implementar solução para proteger dados armazenados na nuvem.

TTPs catalogadas no MITRE/ATT&CK e empregadas em ataques com o SocGholish, estão disponíveis nos links abaixo:

• T1027
• T1189
• T1140
• T1620
• T1204
• T1059

 

Conclusão

O malware SocGholish é uma ameaça para as organizações públicas e privadas, pois pode ser usado para roubar credenciais. O malware é distribuído por meio de e-mails de phishing. Os e-mails geralmente incluem um link para um site falso que imita uma página de login real.

O SocGholish apresenta um comportamento anômalo ao executar JavaScript via Windows Script Host e estabelecer conexões externas, além de realizar atividades de reconhecimento com scripts. Para mitigar essa ameaça, é crucial monitorar e identificar scripts executados de maneira legítima, reduzindo assim os alertas falsos. A execução de comandos de reconhecimento e a enumeração de relações de confiança de domínio são indicadores críticos de que o SocGholish pode evoluir para atividades prejudiciais, como ransomware. Portanto, a detecção precoce e a resposta eficiente são essenciais para conter essa ameaça.

As principais medidas para que as organizações possam se proteger são:

• Treinar os funcionários sobre os perigos do phishing.
• Implementar uma solução de segurança de e-mail que possa detectar e bloquear e-mails de phishing.
• Implementar uma solução de segurança de endpoint que possa detectar e remover malware.
• Usar autenticação multifatorial (MFA) para contas críticas.
• Atualizar regularmente os softwares e sistemas operacionais.
• Ter um plano de prevenção, tratamento e resposta a incidentes cibernéticos.

Além dessas medidas, as organizações também podem considerar a implementação de soluções de segurança de rede para identificar e bloquear tráfego malicioso e solução de segurança de nuvem para proteger os dados armazenados na nuvem. As organizações devem estar cientes dessa ameaça e tomar medidas para se proteger.

 

IoC disponíveis em fontes abertas:

Executables	SHA-1 hash: 3918a9ebe88ba272718a14c02eae148eaafbe51b   SHA-1 hash: db6e1a1dbb0e351c44b49db79b8bad3321d673a1   SHA-1 hash: 57d0c737686cf01bd6aa0ef206d3f81aee93cbbd   SHA-1 hash: 0cdaee46f8d898c253ba3427256d430de3ff7791   SHA-1 hash: 3e481043bc981eae8f0b977477024abb6e1e132e   SHA-1 hash: a187d9c0b4bdb4d0b5c1d2bdbcb65090dcee5d8c   SHA-1 hash: 41e99216782434354a16015c33dcd6550bff0a35 SHA-1 hash: 7150a4c32f401a7d924083094c3c3796a392556f
Domains	.xen.hill-family[.]us apps.weightlossihp[.]com upstream.fishslayerjigco[.]com .host.integrativehealthpartners[.]com platform.windsorbongvape[.]ca widget.windsorbongvape[.]com sikescomposites[.]com pastorq[.]com clouds222[.]com commandaadmin[.]com
IP addresses	87.249.50[.]201 91.219.236[.]202 77.223.98[.]12 5.53.125[.]173 178.21.11[.]77 193.124.18[.]128

Fonte: https://www.cybereason.com/blog/threat-analysis-report-socgholish-and-zloader-from-fake-updates-and-installers-to-owning-your-systems

 

Principais referências:

• https://www.cybereason.com/blog/threat-analysis-report-socgholish-and-zloader-from-fake-updates-and-installers-to-owning-your-systems
• https://www.proofpoint.com/us/blog/email-and-cloud-threats/detecting-analyzing-socgholish-attack
• https://www.proofpoint.com/us/blog/threat-insight/part-1-socgholish-very-real-threat-very-fake-update
• https://redcanary.com/threat-detection-report/threats/socgholish/
• https://attack.mitre.org/matrices/enterprise/
• https://seraphicsecurity.com/resources/blog/socgholish-malware-and-the-danger-of-drive-by-downloads/
• https://www.cisoadvisor.com.br/apenas-3-carregadores-de-malware-respondem-por-80-dos-ataques/
• https://www.cisoadvisor.com.br/carregador-de-malware-ja-afeta-9-das-empresas-no-brasil/

 

[TLP:CLEAR]