CyberThao
Writer
Phần mềm độc hại SocGholish – còn được gọi là FakeUpdates – đang trở thành một trong những mối đe dọa nghiêm trọng nhất hiện nay khi nó không chỉ lây lan qua các trang web bị xâm nhập, mà còn thông qua các công cụ quảng cáo độc hại (Malvertising), với mục tiêu cung cấp quyền truy cập cho các nhóm tội phạm mạng nguy hiểm như LockBit, Evil Corp, Dridex, và Raspberry Robin.
Theo phân tích của công ty an ninh mạng Silent Push, SocGholish hoạt động như một mô hình Malware-as-a-Service (MaaS) tinh vi. Những hệ thống bị nhiễm sẽ trở thành điểm truy cập ban đầu để bán cho các tổ chức tội phạm khác.
Điểm đáng chú ý là SocGholish không hoạt động đơn lẻ, mà thường kết hợp cùng hệ thống phân phối lưu lượng (TDS) như Parrot TDS và Keitaro TDS – vốn được thiết kế để lọc, theo dõi, chuyển hướng người dùng đến các trang đích chứa phần mềm độc hại dựa trên hành vi, thiết bị và dấu vân tay số của họ.
Từ năm 2019, các chuyên gia đã cảnh báo rằng Keitaro TDS có thể được sử dụng cho mục đích hợp pháp, khiến nó khó bị chặn trong các tổ chức mà không gây ra quá nhiều kết quả sai lệch. Tuy nhiên, các nhóm như TA2726 và TA2727 đã lợi dụng Keitaro để phân phối các chiến dịch SocGholish, đồng thời bán lưu lượng bị nhiễm cho khách hàng của mình.
Toàn bộ quá trình từ lây nhiễm ban đầu đến thực thi mã độc được hệ thống C2 (Command & Control) của SocGholish giám sát liên tục. Nếu phát hiện nạn nhân không "phù hợp", hệ thống sẽ tự động dừng tải xuống để tránh bị phát hiện.
Zscaler cũng phát hiện phiên bản mới của Raspberry Robin với các kỹ thuật che giấu tiên tiến hơn, sử dụng mã hóa Chacha-20 thay vì AES và khai thác lỗ hổng CVE-2024-38196 để leo thang đặc quyền.
Bên cạnh đó, DarkCloud Stealer – một loại mã độc đánh cắp thông tin – cũng đang được phát tán qua email lừa đảo, sử dụng kỹ thuật process hollowing và mã hóa phức tạp để qua mặt hệ thống phòng thủ truyền thống.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/socgholish-malware-spread-via-ad-tools.html
Theo phân tích của công ty an ninh mạng Silent Push, SocGholish hoạt động như một mô hình Malware-as-a-Service (MaaS) tinh vi. Những hệ thống bị nhiễm sẽ trở thành điểm truy cập ban đầu để bán cho các tổ chức tội phạm khác.
SocGholish phát tán như thế nào?
SocGholish là một phần mềm độc hại dựa trên JavaScript, được ngụy trang dưới dạng bản cập nhật giả mạo cho các trình duyệt phổ biến như Chrome, Firefox, cũng như phần mềm Adobe Flash Player hoặc Microsoft Teams. Nó thường được phát tán qua các trang web bị tấn công, trong đó mã độc được tiêm trực tiếp hoặc gián tiếp vào mã trang web.Điểm đáng chú ý là SocGholish không hoạt động đơn lẻ, mà thường kết hợp cùng hệ thống phân phối lưu lượng (TDS) như Parrot TDS và Keitaro TDS – vốn được thiết kế để lọc, theo dõi, chuyển hướng người dùng đến các trang đích chứa phần mềm độc hại dựa trên hành vi, thiết bị và dấu vân tay số của họ.
Từ năm 2019, các chuyên gia đã cảnh báo rằng Keitaro TDS có thể được sử dụng cho mục đích hợp pháp, khiến nó khó bị chặn trong các tổ chức mà không gây ra quá nhiều kết quả sai lệch. Tuy nhiên, các nhóm như TA2726 và TA2727 đã lợi dụng Keitaro để phân phối các chiến dịch SocGholish, đồng thời bán lưu lượng bị nhiễm cho khách hàng của mình.
Kết nối với các mối đe dọa tấn công cao cấp
Mục tiêu chính của SocGholish là thiết lập quyền truy cập ban đầu vào hệ thống nạn nhân, sau đó bán lại quyền truy cập này cho các nhóm ransomware hoặc tội phạm mạng lớn hơn như:- LockBit
- Evil Corp (DEV-0243)
- Dridex
- Raspberry Robin (Roshtyak)
Toàn bộ quá trình từ lây nhiễm ban đầu đến thực thi mã độc được hệ thống C2 (Command & Control) của SocGholish giám sát liên tục. Nếu phát hiện nạn nhân không "phù hợp", hệ thống sẽ tự động dừng tải xuống để tránh bị phát hiện.
Zscaler cũng phát hiện phiên bản mới của Raspberry Robin với các kỹ thuật che giấu tiên tiến hơn, sử dụng mã hóa Chacha-20 thay vì AES và khai thác lỗ hổng CVE-2024-38196 để leo thang đặc quyền.
Bên cạnh đó, DarkCloud Stealer – một loại mã độc đánh cắp thông tin – cũng đang được phát tán qua email lừa đảo, sử dụng kỹ thuật process hollowing và mã hóa phức tạp để qua mặt hệ thống phòng thủ truyền thống.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/socgholish-malware-spread-via-ad-tools.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview