Il y a près de 10 ans, en 2017, un groupe de cybercriminels, appelé SocGholish, ou encore FakeUpdates, s’est mis à exploiter une nouvelle tactique de piratage, l’injection web. Le procédé consiste tout d’abord à s’introduire dans des sites web légitimes. En général, les pirates se tournent vers des sites WordPress. Ils y insèrent discrètement quelques lignes de code JavaScript malveillant. Le site continue de fonctionner normalement, mais il est devenu l’un des maillons clés d’une cyberattaque dévastatrice.
Dans certains cas bien précis, le site, désormais compromis par du code malveillant, va afficher une fenêtre d’alerte sur l’écran de ses visiteurs. Cet avertissement imite à la perfection les notifications officielles de Chrome ou Firefox, et indique que « votre navigateur doit être mis à jour ». Si l’internaute tombe dans le piège et clique sur l’alerte, un logiciel malveillant s’installe en silence sur l’ordinateur, à savoir SocGholish, un virus du même nom que le gang. Les pirates ne diffusent pas systématiquement l’alerte. Ils se concentrent sur des cibles triées sur le volet, sur base de leur localisation géographique, leur navigateur, ou l’heure de leur connexion.
À lire aussi : Cette cyberattaque chinoise a fait « des centaines de milliers de victimes » avec Gemini, Google contre-attaque
Une tactique adoptée par des dizaines de gangs
Au fil des années, la technique employée par SocGholish est adoptée par d’autres gangs de cybercriminels, dont ClearFake, ZPHP et ErrTraffic. Des dizaines d’entités criminelles se mettent à compromettre des sites WordPress pour diffuser de fausses demandes de mise à jour. C’est pourquoi ProofPoint considère SocGholish comme le « parrain
» de ce type d’attaque.
SocGholish « peut être considéré comme le ‘parrain’ d’un type de menace qui compromet des sites web et utilise des systèmes de distribution de trafic pour rediriger les visiteurs vers des malwares. Ce qui n’était utilisé que par une poignée d’acteurs malveillants est devenu une technique courante utilisée par de nombreux groupes cybercriminels », nous explique ProofPoint.
Certains des sites compromis par SocGholish comptent des millions de visiteurs quotidiens. Pour gagner de l’argent, les pirates ne cherchent pas à extorquer des rançons à leurs victimes. Ils vont plutôt vendre l’accès aux machines infectées à d’autres groupes criminels. Le groupe sert de porte d’entrée à certaines des familles de ransomware les plus destructrices de la décennie, telles que LockBit et RansomHub. Il est également associé à Evil Corp, un groupe cybercriminel russe actif depuis 2007, connu pour collaborer avec les services secrets de Moscou.
À lire aussi : Des hackers infiltrés comme salariés – l’incroyable piège de la Corée du Nord pour pirater la tech
L’opération Endgame
Devenu de plus en plus incontournable, SocGholish finit par attirer l’attention des autorités. Après des années d’investigation, les forces de l’ordre sont enfin en mesure d’agir à l’encontre des cybercriminels. En mai 2024, Europol et Eurojust lancent Endgame, une opération internationale de longue haleine visant à neutraliser les infrastructures qui servent de passerelles aux ransomwares. Dans un premier temps, les botnets IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee et SystemBC sont démantelés. Quelques mois plus tard, une seconde opération met hors ligne plus de 1 000 serveurs supplémentaires. L’an dernier, les forces de l’ordre frappent à nouveau en s’attaquant notamment aux botnets DanaBot, Rhadamanthys, VenomRAT et Elysium. Là encore, une armée de serveurs est saisie.
Un peu plus d’un an plus tard, les autorités se sont considérablement rapprochées de SocGholish. Avec l’appui des Pays-Bas, du Canada, des États-Unis, de l’Allemagne et de plusieurs sociétés privées, dont Proofpoint, les forces de l’ordre parviennent à mettre hors ligne 106 serveurs et domaines utilisés par le gang. Dans la foulée, 14 971 sites WordPress compromis sont nettoyés et libérés du malware. La police néerlandaise contacte directement les propriétaires des 14 971 sites compromis avec une liste de recommandations concrètes. Les enquêteurs demandent notamment aux administrateurs de changer immédiatement leurs identifiants de connexion, d’activer l’authentification à deux facteurs, et de supprimer tout compte WordPress inconnu.
Un coup dur pour SocGholish, et ça ne fait que commencer
Ce n’est que le début du démantèlement de SocGholish. Les autorités assurent que des « actions supplémentaires » sont prévues à l’encontre du groupe criminel. Il faut s’attendre à ce que les assauts répétés des autorités finissent par faire mal aux affaires du gang. En effet, les clients du groupe sont susceptibles de se tourner vers des alternatives pour éviter de se retrouver dans le collimateur des enquêteurs. L’opération « devrait avoir un impact significatif sur les activités » du gang, estime ProofPoint.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Politie.nl
