L’opération Endgame a porté un coup dur à une chaîne d’infection utilisée pour des attaques de grande envergure. Les autorités ont non seulement démantelé l’infrastructure du botnet SocGholish, mais ont également notifié les propriétaires d’environ 15 000 sites web compromis, majoritairement des PME.
Ce réseau était une porte d’entrée de premier choix pour le groupe cybercriminel russe Evil Corp.
Comment le malware SocGholish opérait-il pour piéger ses victimes ?
Actif depuis au moins 2017, SocGholish, aussi connu sous le nom de FakeUpdates, s’appuyait sur le piratage de sites web légitimes, principalement des sites WordPress.
Les visiteurs de ces sites se voyaient présenter de fausses mises à jour de logiciels. En cliquant, ils installaient sans le savoir un malware qui ouvrait une porte dérobée sur leur système. Cette technique de drive-by download permettait aux attaquants de prendre le contrôle de l’ordinateur de la victime.
Une fois cet accès initial établi, le botnet SocGholish servait de tremplin pour déployer d’autres charges utiles malveillantes. Selon le FBI, ce réseau a été utilisé pour des campagnes de ransomware et des opérations d’espionnage.
Des groupes comme DoppelPaymer, WastedLocker, LockBit et RansomHub ont notamment profité de cette porte d’entrée pour lancer leurs propres attaques dévastatrices.
Quelle est l’ampleur de l’opération des autorités ?
Menée par les unités spécialisées des Pays-Bas, du Canada, des États-Unis et d’Allemagne, avec le soutien d’Europol et Eurojust, l’opération Endgame a permis la saisie de 106 serveurs et domaines à travers le monde.
Les partenaires du secteur privé, comme Infoblox, Proofpoint et The Shadowserver Foundation, ont également joué un rôle dans l’identification et le démantèlement du réseau.
» Avec ces actions, nous privons les cybercriminels de l’accès aux systèmes informatiques infectés. Cela prévient des dommages supplémentaires et limite la propagation des malwares « , indique la police néerlandaise.
La partie n’est pas gagnée pour autant et de nouvelles actions contre SocGholish sont prévues. De précédentes opérations ont montré que les infrastructures cybercriminelles peuvent être particulièrement résilientes.
Les recommandations pour les propriétaires de sites et les internautes
La police néerlandaise, en plus de nettoyer les sites, a émis des recommandations aux propriétaires de sites WordPress. Il leur est conseillé de changer leurs identifiants de connexion, d’activer l’authentification multifacteur, de supprimer tout compte inconnu et de maintenir leur système ainsi que leurs plugins constamment à jour.
Pour les internautes, les autorités rappellent de ne jamais faire confiance aux pop-ups ou aux alertes de mise à jour trop insistantes qui apparaissent dans le navigateur. Une mise à jour logicielle légitime provient toujours de la source officielle.