As autoridades internacionais anunciaram o desmantelamento da infraestrutura criminal por trás do SocGholish, um dos frameworks de malware mais persistentes ativos desde 2017. A operação, batizada de Operation Endgame, resultou na apreensão de 106 servidores e 101 domínios maliciosos, além da remediação de quase 15.000 sites infectados em todo o mundo.
Operação Endgame e o impacto global
A ação coordenada foi executada como parte da Operation Endgame, lançada em 2024 e reconhecida como a maior operação internacional já conduzida contra ransomware e cibercrime. Agências de aplicação da lei dos Países Baixos (NHTCU), Canadá (RCMP), Estados Unidos (FBI) e Alemanha (BKA), com apoio da Europol e Eurojust, realizaram uma semana de ação conjunta que paralisou a infraestrutura de botnet do SocGholish.
Maikel Rollman, da Unidade Nacional de Crimes de Alta Tecnologia (NHTCU), destacou: "Com essas ações, privamos os cibercriminosos de acesso a sistemas de computadores infectados. Isso impede danos adicionais aos sistemas digitais de cidadãos, empresas e organizações em todo o mundo".
O que é o SocGholish e como opera
O SocGholish, amplamente conhecido como "FakeUpdates", é um framework sofisticado de malware JavaScript que visa visitantes de sites legítimos comprometidos. Os atores de ameaça injetam JavaScript malicioso em sites WordPress hackeados, apresentando aos visitantes prompts convincentes de atualização de navegador falsa.
Uma vez que a vítima baixa e executa o arquivo de atualização falso, o malware estabelece uma conexão de backdoor para a infraestrutura controlada pelo atacante. Isso permite a implantação de Trojans de Acesso Remoto (RATs), infostealers, beacons do Cobalt Strike e cepas de ransomware que visam infraestrutura crítica.
Impacto no ecossistema WordPress
O WordPress, que alimenta mais de 43% de todos os sites na internet, apresenta uma superfície de ataque enorme. Nesta operação, credenciais de login de 1,4 milhão de sites WordPress foram encontradas vazadas, tornando-os altamente suscetíveis à infecção pelo SocGholish. As autoridades confirmaram que 14.971 sites, incluindo restaurantes e oficinas de automóveis que prestam serviços cotidianos, estavam ativamente infectados e foram remediados.
Medidas de mitigação recomendadas
A polícia holandesa removeu backdoors e malware de todos os sites WordPress identificados e notificou os proprietários afetados através de plataformas como HaveIBeenPwned, DIVD, Spamhaus e NCSC Países Baixos. Os proprietários de sites WordPress afetados são fortemente aconselhados a:
- Alterar imediatamente todas as credenciais de login
- Habilitar autenticação multifator (MFA)
- Excluir qualquer conta de administrador WordPress desconhecida ou não autorizada
- Mantendo o núcleo do WordPress, plugins e temas totalmente atualizados
Vínculos com grupos criminosos
O SocGholish está ligado ao Evil Corp, o grupo cibercriminoso russo anteriormente responsável pelas campanhas de malware bancário Zeus e Dridex e implicado em múltiplas operações de ransomware e lavagem de dinheiro de grande escala. O Centro de Segurança da Internet identificou o SocGholish como o principal downloader de malware, respondendo por 60% de todos esses ataques globalmente.
O que os CISOs devem fazer agora
A Operation Endgame continua a expandir seu escopo, com as forças da lei sinalizando que este desmantelamento não é uma conclusão, mas um trampolim para ações de aplicação direcionadas adicionais contra operadores do SocGholish e redes de cibercriminosos afiliadas. As organizações devem monitorar seus logs de acesso e verificar a integridade de seus sites WordPress, especialmente aqueles que não possuem MFA ou que utilizam plugins desatualizados.