Des agences de police internationale ont nettoyé près de 15 000 sites WordPress infectés par un malware et ont démantelé plus d’une centaine de serveurs liés au botnet SocGholish et au groupe cybercriminel russe Evil Corp.
Cette action concertée, qui bénéficiait du soutien d’Europol et d’Eurojust, s’inscrivait dans le cadre de l’Opération Endgame. Cette vaste opération policière contre la cybercriminalité visait cette fois à perturber une chaîne d’infection majeure associée à Evil Corp.
Les autorités des Pays-Bas (NHCTU), du Canada (GRC), des États-Unis (FBI) et d’Allemagne (BKA) ont éliminé les infections du malware SocGholish sur 14 971 sites WordPress compromis. Elles ont aussi mis hors ligne 106 serveurs et noms de domaine.
La police néerlandaise a retiré le malware et les portes dérobées des sites contaminés. Elle a également recommandé aux propriétaires des sites de modifier leurs identifiants, d’activer l’authentification à plusieurs facteurs, de supprimer tout compte WordPress inconnu et de maintenir leur installation à jour.
« Par ces actions, nous privons les cybercriminels de l’accès aux systèmes informatiques infectés. Cela empêche des dommages supplémentaires aux systèmes numériques des citoyens, des entreprises et des organisations dans le monde entier et limite la propagation des logiciels malveillants », a déclaré Maikel Rollman, de la National High Tech Crime Unit néerlandaise.
« Cela réduit aussi le risque que ces systèmes soient utilisés pour des cyberattaques sur les infrastructures critiques et d’autres processus sociétaux essentiels. Ceci marque le début d’actions supplémentaires contre SocGholish. »
Le malware de téléchargement SocGholish, qui est basé sur JavaScript, est aussi connu sous les noms de FakeUpdates et GhoLoader. Il est utilisé dans des attaques depuis au moins 2017. Son fonctionnement consiste à détourner des sites web légitimes, principalement des sites WordPress, et à inciter les visiteurs à télécharger des fichiers malveillants, qui sont généralement déguisés en fausses mises à jour de navigateur.
Quand un utilisateur installe la mise à jour frauduleuse, le malware ouvre une connexion vers les attaquants, ce qui leur donne accès au système infecté. SocGholish a également été utilisé pour déployer d’autres familles de logiciels malveillants, dont Dridex, Doppelpaymer, Empire, Koadic, Chtonic et Azorult.
Ce malware a déjà été associé à Evil Corp, un gang cybercriminel russe actif depuis 2007, qui est lié aux familles de malwares Zeus et Dridex. Ce groupe est aussi à l’origine des opérations de rançongiciels WastedLocker, Hades, Macaw Locker et Phoenix CryptoLocker.
« Ceci marque le début d’actions supplémentaires contre SocGholish », a ajouté Maikel Rollman dans un communiqué de presse publié aujourd’hui.
En novembre, dans le cadre de l’Opération Endgame, les forces de l’ordre avaient aussi démantelé plus de 1 000 serveurs qui étaient utilisés par les opérations de malware botnet Rhadamanthys, VenomRAT et Elysium.
Auparavant, l’Opération Endgame avait aussi pris pour cible des infrastructures de rançongiciels, des clients et serveurs du botnet Smokeloader, le site AVCheck et diverses autres opérations majeures de logiciels malveillants, dont DanaBot, IcedID, Pikabot, Trickbot, Bumblebee et SystemBC.