Nous sommes toujours ravis de terminer la semaine sur une note positive. Une opération policière baptisée « Operation Endgame » vient de remporter une victoire majeure contre le réseau SocGholish (également connu sous le nom de FakeUpdates), actif depuis longtemps.
SocGholish est un framework de logiciels malveillants actif depuis au moins 2017 et surtout connu pour exploiter des sites WordPress légitimes piratés afin de proposer aux visiteurs de fausses mises à jour de navigateur et de logiciels. Lorsqu’un utilisateur clique sur l’une de ces invites convaincantes invitant à « mettre à jour maintenant », le logiciel malveillant ouvre une porte dérobée sur le système, offrant ainsi aux attaquants un accès initial souvent utilisé pour déployer des ransomwares et d’autres logiciels malveillants. Cette opération a été associée au groupe cybercriminel russe Evil Corp, précédemment impliqué dans les logiciels malveillants Zeus et Dridex, ainsi que dans d’importantes opérations de rançongiciel et de blanchiment d’argent.
Cette semaine, la police néerlandaise et le ministère public, en collaboration avec la Gendarmerie royale du Canada, le FBI, l’Office fédéral allemand de police criminelle, Europol et Eurojust, ont porté un coup direct à l’infrastructure de SocGholish. Dans le cadre de l’opération « Endgame », ils ont saisi 106 serveurs et domaines et nettoyé 14 971 sites WordPress infectés qui redirigeaient discrètement les visiteurs vers le piège de FakeUpdates.
Les enquêteurs affirment avoir découvert des identifiants de connexion exposés pour environ 1,4 million de sites WordPress. Pour vérifier si des mots de passe associés à votre adresse e-mail ont été exposés lors d'une fuite de données, utilisez Malwarebytes Digital Footprint Scanner.
Les autorités néerlandaises ont également fait usage de leurs pouvoirs en matière de piratage informatique pour supprimer les portes dérobées et les logiciels malveillants des sites compromis, puis ont averti les propriétaires des sites concernés, les exhortant à mettre à jour WordPress, à activer l'authentification multifactorielle (MFA) et à changer leurs mots de passe.
Selon les autorités, parmi les sites infectés figuraient des commerces courants tels que des restaurants et des garages automobiles, ce qui signifie que les visiteurs auraient pu être exposés à des logiciels malveillants simplement en naviguant sur des sites web locaux réputés fiables.
Ce qui importe ici, c’est l’ampleur et l’objectif de l’opération. « Endgame » est présentée comme la plus grande opération internationale jamais menée à ce jour contre les ransomwares et la cybercriminalité, et ce démantèlement de SocGholish perturbe spécifiquement une chaîne d’infection clé utilisée par plusieurs groupes de ransomwares. En rompant le lien entre des milliers de sites web courants et un écosystème sophistiqué de « malware-as-a-service », les forces de l’ordre ont réduit le nombre de futures victimes et alourdi les coûts d’exploitation pour Evil Corp et ses partenaires.
Alors, à l'approche du week-end, voici une histoire de logiciel malveillant où les « gentils » ont réussi à riposter et à leur faire mal.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
