TA569 può essere considerato il “capostipite” di una tipologia di minaccia che compromette i siti web e utilizza sistemi di reindirizzamento del traffico (TDS) per condurre i visitatori verso il malware. A volte denominato “FakeUpdates”, i suoi web inject SocGholish simulano aggiornamenti di sicurezza del browser per indurre con l’inganno gli utenti a scaricare malware, portando spesso a successivi attacchi ransomware.
Quella che era nata come una tecnica utilizzata solo da un limitato numero di attori di minacce – resa popolare e innovata da TA569, ovvero i web inject -, è diventata comune utilizzata da numerosi cluster di minacce oltre all’ecosistema di TA569, tra cui ClearFake, ZPHP ed ErrTraffic. Ma l’attore originale è ora nel mirino delle forze dell’ordine, le quali hanno annunciato oggi, una massiccia interruzione delle sue attività. Insieme, Paesi Bassi (NHCTU), Canada (RCMP), Stati Uniti (FBI) e Germania (BKA), con il supporto di Europol, hanno preso di mira l’infrastruttura criminale di SocGholish durante un’ azione congiunta durata una settimana.
L’operazione ha consentito di smantellare oltre 100 server e domini in tutto il mondo e di bonificare 14.971 siti web, servendo a neutralizzare la botnet SocGholish. Per evidenziare ulteriormente le azioni e l’impatto di SocGholish, le forze dell’ordine hanno pubblicato un video sul sito di Operation Endgame.
Proofpoint con orgoglio ha fornito informazioni relative a SocGholish per supportare queste attività.
In base agli effetti dei precedenti annunci di Operation Endgame, l’azione contro SocGholish avrà probabilmente un impatto significativo sulle operazioni di TA569, tra cui interruzioni dei servizi, della distribuzione di malware, danni reputazionali e finanziari, nonché la perdita di clienti.
La missione di Proofpoint è fornire ai propri clienti la migliore protezione focalizzata sulle persone dalle minacce avanzate. Laddove possibile e opportuno, come nel caso di Operation Endgame, Proofpoint si avvale delle conoscenze e competenze del proprio team per contribuire a proteggere un pubblico più ampio dalle diffuse minacce malware. Proofpoint è stata orgogliosa di assistere le forze dell’ordine nelle indagini sulle attività di TA569.
Grazie al proprio punto di osservazione unico, l’azienda è in grado di identificare le campagne di distribuzione di malware più estese e di maggior impatto, fornendo alle autorità insight fondamentali sulle più significative minacce per la società che colpiscono il maggior numero di individui in tutto il mondo.
