SocGholish: Gefälschtes Update bringt Website-Besucher in Gefahr

Bei der Malware SocGholish, auch bekannt als FakeUpdates, handelt es sich um einen in Java-Script und JScript geschriebenen Downloader, der über HTTP kommuniziert. Dabei tarnt sich die Malware als gefälschtes Browser-Update, dessen Installation der Anwender bestätigen soll. Sie wurde von bekannten Bedrohungsakteuren wie der von Russland betriebenen Evil Corp und dem Initial Access Broker TA569 genutzt.

Die Angriffssequenz

1.    Der Erstzugang
SocGholish zeigt eine Meldung im Browserfenster an, welche den Anwender zur Installation eines vermeintlichen Updates auffordert. Fachleute konnten drei verschiedene kompromittierte Websites beobachten, die aufgrund anfälliger WordPress-Plug-ins ausgenutzt wurden und dabei eine Injektion über das Keitaro Traffic Distribution System (TDS) verwenden. Dieses TDS von Keitaro ist ein selbst gehostetes Tool, das zur Verwaltung und Verfolgung von Werbekampagnen zum Einsatz kommt. In letzter Zeit missbrauchen es Cyberkriminelle allerdings, um Benutzerinnen und Benutzer zu Exploit-Kits umzuleiten. Ein Abgleich der kompromittierten Websites bei PublicWWW, einer Suchmaschine zum Auffinden spezifischer Codeschnipsel in den Quellcodes von Websites, ergab, dass Tausende Webseiten gefährdet sind.

Eine Detail-Analyse förderte ein ungewöhnliches Skript-Tag zutage: dns-prefetch href='apieventmitter(.)com', dns-prefetch href='apidevwa(.)com' und dns-prefetch href='apidevst(.)com', DNS-Prefetch ist ein Tool zur Optimierung der Webleistung, dass es Browsern ermöglicht, Domänennamen frühzeitig aufzulösen und so den Abruf externer Ressourcen zu beschleunigen.

Anschliessend wurden  Daten über die in dns-prefetch verlinkten Domains gesammelt. Dabei kam URLScan.io zum Einsatz, ein Service, der den Inhalt und die Struktur von Websites analysiert und Details über die gesammelten Keitaro TDS aufgelistet hat. Alle TDS verweisen auf eine IP-Adresse, die nachweislich in Moskau gehostet wird. Diese IP-Adresse war mit anderen Kampagnen der Evil Corp. verlinkt oder wurde möglicherweise von diesen verwendet.
Wer der Spur von Keitaro TDS folgt, landet auf einer Seite, die sowohl in der Struktur als auch in der sichtbaren URL eine Gemeinsamkeit aufweist: Über eine Weiterleitung gelangen Nutzerinnen und Nutzer auf die URL scada[.]paradizeconstruction[.]com: die SocGholish Domain.

Die Seite war zum Zeitpunkt der Analyse nicht zugänglich, sodass die Fachleute zusätzliche Tools nutzen mussten. Mit dem Internetarchiv von „The Wayback Machine“ lassen sich archivierte Versionen von Webseiten zu verschiedenen Zeitpunkten suchen und anzeigen. Glücklicherweise war auch die spezielle SocGholish-Seite archiviert.

Der im archivierten Quellcode gefundene Hinweis deutet darauf hin, dass bestimmte Benutzerprofile anhand von Fingerprinting-Techniken analysiert werden. Der Webdriver in der Navigator-Schnittstelle zeigt, ob der Browser automatisiert gesteuert wird. Ausserdem werden Parameter wie die Höhe und Breite des Fensters, sowie bestimmte Mausbewegungen, wie das Bewegen der Maus, erfasst. 

2.    Gefälschte Update
Das eingeschleuste Skript auf den kompromittierten Websites führt zur FakeUpdates-Seite. SocGholish ist dafür bekannt, dass er das FakeUpdates-Thema als Fassade verwendet, um eine andere bösartige Software zu installieren.

Die gefälschten Update-Seiten sind so aufgebaut, dass sie Benutzerinnen und Benutzer dazu verleiten, auf die Benachrichtigung zu klicken, weil ihnen vorgegaukelt wird, dass ihre Browser veraltet sind. Dabei handelt es sich um die gängigen Services wie Chrome, Firefox, IE und Opera. 

Ein genauer Blick offenbart, dass die Schadsoftware nun bestimmte Aktionen der Benutzerin oder des Benutzers überwacht und auf der Grundlage der ausgelösten Mausaktionen selbst aktiv wird. Sobald die Schaltfläche „Firefox aktualisieren“ angeklickt wird, führt der versteckte Link die Anwendenden zu einer anderen SocGholish-Landingpage africa[.]thesmalladventureguide[.]com/7nwh~.

Hier wird ein Stück verschleierter JavaScript-Code heruntergeladen, der ActiveXObject(„MSXML2.XMLHTTP“) verwendet, um ein XMLHttpRequest-Objekt zu erstellen, das es dem Skript ermöglicht, eine POST-Anfrage an den SocGholish Domain Server zu senden, um die Antwort auszuführen. Er kann beliebigen Code ausführen und andere Dinge wie das Herunterladen einer anderen Malware ermöglichen, wenn ein Angreifer den Server oder das Netzwerk kontrolliert.

3.    Die Payload 
Da der Domain-Server, zu dem die Verbindung besteht, bereits ausgefallen ist, konnte keine weiterführende Analyse erfolgen. Allerdings legen jüngste Untersuchungen nahe, dass eine Backdoor namens BadSpace mit derselben Methode wie SocGholish verbreitet wurde.

Darüber hinaus wurden einige andere bekannte Payloads für Malware-Familien untersucht, die mit der Verwendung von SocGholish für die Erstinfektion in Verbindung stehen.

• Cobalt Strike: Ein beliebtes Tool für Penetrationstests, von dem bekannt ist, dass es von Angreifern für böswillige Zwecke wie Fernzugriff und laterale Bewegungen innerhalb eines Netzwerks missbraucht wird.
• Zloader: Wurde in erster Linie entwickelt, um Anmeldeinformationen und sensible Daten zu stehlen. Verfügt aber auch über Backdoor-Funktionen und kann als Downloader für andere Malware fungieren.
• Informationsstealer: Malware wie RedLine Stealer und Lumma Stealer kann über SocGholish eingesetzt werden, um Finanzinformationen, Anmeldeinformationen und andere sensible Daten zu stehlen.
• Remote Access Trojans: Diese ermöglichen es Angreifern, die Kontrolle über infizierte Geräte zu übernehmen. NetSupport RAT ist eine häufig vorkommende Payload bei SocGholish.
• Ransomware: Verschiedene Ransomware-Familien, einschliesslich destruktiver Ransomware wie Ryuk und Egregor.

Zum Zeitpunkt der Analyse haben die Fachleute in der Telemetrie neue SocGholish-Infektionen beobachtet, die PowerShell verwenden – und zwar in dem Teil der Infektionskette, der die Malware auf dem System des Benutzers aufrechterhält.

Prävention und Schadensbegrenzung 

Um eine Infektion eines Systems und eigener Webseiten mit SocGholish zu verhindern oder abzuschwächen, sollten Anwenderinnen und Anwender eine Kombination aus technischen und persönlichen Sicherheitsmassnahmen nutzen:

• Endpoint-Protection –installieren Sie eine aktuelle Endpoint-Protection-Lösung.
• Updates – Aktualisieren Sie alle WordPress-Dateien, Themes und Plug-ins regelmässig, um bestehende Sicherheitslücken zu schliessen.
• Verwendung von Plug-ins - Verwenden Sie bei der Erstellung/Entwicklung einer Website nur vertrauenswürdige und sichere Plug-ins.
• Sicherheits-Plug-ins - Nutzen Sie Wordfence, um sich vor Malware wie SocGholish zu schützen.
• Sicherheitsbewusstsein - Klären Sie Anwenderinnen und Anwender über die Gefahren von gefälschten Update-Aufforderungen und Phishing-E-Mails auf.
• Back-ups - Führen Sie regelmässig Datensicherungen von wichtigen Website-Daten durch.