Хакеры заразили вирусом сотни новостных сайтов США

Источник пишет, что исследователи отлеживают стоящую за этими атаками группу хакеров под идентификатором TA569. Однако неясно, являются ли они широко известной группировкой, которія раньше уже "светилась" в новостях, или это кто-то новый. Интересно Вопросы безопасности: какая операционная система лучше защитит ваши биометрические и персональные данные Хакеры ввели свой код в безвредный файл JavaScript, который загружается на сайты новостных ресурсов.

Затем этот файл используется для установки JavaScript-фреймворка SocGholish (также известного как FakeUpdates), заражающего посетителей скомпрометированных сайтов вирусами, обычно замаскированными под поддельные обновления браузера, распространяемые в виде ZIP-архивов (например, Chromе.Urdatе.zip, Chrome.Updater.zip, Firefoх.Uрdatе.zip, Opera.Updаte.zip). Упомянутая медиакомпания – это фирма, предоставляющая как видеоконтент, так и рекламу крупным новостным агентствам. Она обслуживает множество разных компаний на разных рынках в Соединенных Штатах, — объясняет Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Proofpoint, обнаружившей систематические инъекции нового кода.

По данным аналитиков, суммарно вредоносное ПО было установлено на сайтах более 250 американских агентств новостей. Некоторые из них крупные и известные организации, однако названия пострадавших ресурсов не раскрываются. Хотя общее количество жертв вируса неизвестно, в Proofpoint заявляют, что среди них есть ведущие издания из Нью-Йорка, Бостона, Чикаго, Майами, Вашингтона.

Стоит отметить, что SocGholish ранее использовался известной русскоязычной группировкой Evil Corp. Нынешняя кампания очень напоминает аналогичную, обнаруженную в 2020 году. Тогда Evil Corp распространяли вирус с помощью