Le « parrain » des cyberattaques avec fausses mises à jour vient de tomber
Le gang cybercriminel SocGholish, connu pour avoir transformé des sites web ordinaires en pièges invisibles, a été neutralisé par les forces de l’ordre lors de l’opération Endgame. Cette opération marque une avancée significative dans la lutte contre les cyberattaques, selon les enquêteurs.
Fondé en 2017, SocGholish, également désigné sous le nom de FakeUpdates, a innové en utilisant l’injection web pour compromettre des sites légitimes, souvent basés sur WordPress. Les hackers inséraient un code JavaScript malveillant, permettant aux sites de fonctionner normalement tout en servant de vecteurs pour des attaques. Les visiteurs étaient alors confrontés à de fausses alertes de mise à jour de navigateur, incitant à cliquer et à télécharger un virus, également nommé SocGholish.
La méthode a été reprise par de nombreux autres groupes criminels, dont ClearFake et ZPHP. ProofPoint a qualifié SocGholish de « parrain » de ce type d’attaques, soulignant que sa technique, autrefois réservée à quelques acteurs, est devenue répandue.
Les sites compromis par SocGholish généraient des millions de visites quotidiennes. Plutôt que d’exiger des rançons, les hackers vendaient l’accès aux machines infectées à d’autres groupes, facilitant ainsi des ransomwares comme LockBit et RansomHub.
En mai 2024, Europol et Eurojust ont lancé l’opération Endgame, visant à démanteler les infrastructures de cybersécurité des ransomwares. Cette opération a permis de désactiver des botnets et de mettre hors ligne 106 serveurs utilisés par SocGholish. De plus, 14 971 sites WordPress compromis ont été nettoyés et sécurisés.
Les autorités prévoient d’autres actions pour continuer à affaiblir le groupe. Les efforts en cours devraient avoir un impact significatif sur les activités de SocGholish, qui pourrait voir ses clients se tourner vers des alternatives pour éviter d’être ciblés.
Source : Politie.nl
