John Gomez - stock.adobe.com
Opération Endgame : Le démantèlement d'un botnet majeur, SocGholish
Le botnet SocGholish a été démantelé dans le cadre de l'opération Endgame, révélant l'architecture complexe de l'injection web et les failles des CMS, notamment WordPress.
SocGholish est un malware qui représente une menace constante depuis 2017. Ce logiciel malveillant est utilisé par le groupe cybercriminel Evil Corp, connu pour son implication dans des opérations majeures de rançongiciels et de blanchiment d'argent.
L'attribution de SocGholish à Evil Corp est étayée par les données de Proofpoint, qui a associé ce malware à ce groupe notoire. Le rôle de SocGholish est de s'injecter dans des sites web légitimes pour diffuser le malware à ses visiteurs, visant à obtenir un accès non autorisé aux systèmes informatiques des utilisateurs.
L'injection web : le modèle TA569 et les Systèmes de Direction de Trafic (TDS)
L'injection web, popularisée et innovée par le groupe TA569, constitue le modèle technique central de cette menace. TA569 est considéré comme le précurseur de cette technique. Le mécanisme de SocGholish, souvent désigné sous le nom de « FakeUpdates », consiste à imiter des mises à jour logicielles de navigateur pour induire les utilisateurs à télécharger le malware.
L'attaque suit une chaîne en trois étapes. Premièrement, l'injecteur malveillant SocGholish est servi aux visiteurs du site web compromis. Deuxièmement, un service de direction de trafic (TDS) est utilisé pour déterminer quel utilisateur recevra quelle charge utile, permettant une adaptation dynamique de l'attaque. Troisièmement, la charge finale, GhoLoader, est délivré.
L'accès initial est généralement obtenu par la compromission d'un système de gestion de contenus (CMS) ou de l'environnement d'hébergement. Une fois l'accès acquis, les acteurs malveillants établissent une persistance, souvent en installant des plugins CMS factices qui agissent comme des portes dérobées.
Le vecteur d'infection le plus courant pour SocGholish est la compromission de sites basés sur WordPress, la plateforme la plus utilisée au monde pour la création de sites web. Les attaquants exploitent diverses failles : des identifiants de connexion divulgués ou réutilisés, des vulnérabilités dans le CMS lui-même, ou des faiblesses dans les thèmes et les plugins.
L'ampleur de l'infection est significative. Au cours de l'Opération Endgame, 14 971 sites web ont été remis en état. De plus, les autorités ont identifié la fuite des identifiants de connexion de 1,4 million de sites. Cette dépendance aux plateformes CMS légitimes rend ces sites vulnérables à la compromission à l'échelle mondiale.
Opération Endgame : la réponse internationale aux infrastructures criminelles
L'Opération Endgame représente une action concertée de lutte contre le cybercrime. Cette initiative a mobilisé des forces de l'ordre internationales, incluant les Pays-Bas, le Canada, les États-Unis, la France et l'Allemagne, avec le soutien d'Europol et d'Eurojust.
Cette coopération a permis de frapper l'infrastructure criminelle de SocGholish. Les actions menées ont abouti à la déconnexion de 106 serveurs et domaines à l'échelle mondiale, et à la remédiation des 14 971 sites infectés. Maikel Rollman, de l'Unité Nationale de Criminalité de Haute Technologie des Pays-Bas, a souligné que « ces actions privent les cybercriminels de l'accès aux systèmes informatiques infectés ».
Pour approfondir sur Cyberdélinquance
-
![]()
Tsundere Bot : la nouvelle machine à accès initiaux de TA584
Par: Valéry Rieß-Marchive
-
![]()
Piratage : qu’est-ce que la technique « ClickFix » ?
Par: Valéry Rieß-Marchive
-
![]()
Endgame saison 3 : le cleptogiciel Rhadamanthys en tête d’affiche ?
Par: Valéry Rieß-Marchive
-
![]()
Cyberattaques : début de la saison 2 de l’opération Endgame
Par: Valéry Rieß-Marchive
