Was ist SocGholish??
Auf einer Webseite, die Sie gerade besuchten, erschien plötzlich ein Pop-up-Fenster, das darauf hinwies, dass Ihr Browser dringend aktualisiert werden müsse., Sie haben es heruntergeladen und ausgeführt., Und jetzt fühlt sich etwas falsch an – oder Ihre Sicherheitssoftware hat SocGholish direkt als verdächtig eingestuft.. Lesen Sie diesen Artikel jetzt., Denn was wie eine routinemäßige Update-Aufforderung aussieht, ist in Wirklichkeit eines der aktivsten Malware-Verbreitungssysteme, die derzeit im Einsatz sind.. Befolgen Sie sofort die Entfernungsanleitung unten..
SocGholisch, wird auch unter dem Alias FakeUpdates verfolgt, ist eine JavaScript-basierte Loader-Malware, die seit aktiv ist 2017 und wird als Malware-as-a-Service-Unternehmen von einer unter der Bezeichnung TA569 geführten Gruppe betrieben., auch bekannt als Senfsturm. SiteLock beschreibt es als Malware, die Social Engineering einsetzt, um Benutzer zur Installation schädlicher Software zu verleiten, die als legitimes Browser- oder Systemupdate getarnt ist., auf Benutzervertrauen statt auf Software-Schwachstellen setzen. Einmal installiert, Die Forschung von Silent Push bestätigt, dass TA569 effektiv als Initial Access Broker fungiert., den Zugang zu infizierten Systemen an andere kriminelle Gruppen weiterzuverkaufen, um Folgeangriffe, einschließlich Ransomware, durchzuführen.. Eine kürzlich von Cybersecurity News detailliert beschriebene Strafverfolgungsmaßnahme beschlagnahmte 106 Server und 101 Domänen, die mit dem Netzwerk verbunden sind, und stellten fest, dass Anmeldeinformationen von 1.4 Millionen WordPress-Websites wurden geleakt, Dadurch entsteht eine riesige Anzahl legitimer Websites, die unbemerkt kompromittiert und für die Verbreitung gefälschter Updates missbraucht werden können..
SocGholish Kurzübersicht
| Art | JavaScript-basierte Loader-Malware (FakeUpdates) wird von der Gruppe TA569 als Malware-as-a-Service betrieben.. Verbreitet sich über Drive-by-Downloads auf kompromittierten, legitimen Websites und liefert RATs., Infostealer, Kobalt-Strike-Leuchtfeuer, und Ransomware. |
| Symptome | Ein Pop-up-Fenster fordert einen dringenden Browser an., Blitz, oder ein Microsoft Teams-Update auf einer Website, die normalerweise keins anzeigen würde. Eine heruntergeladene Update-Datei, die ausgeführt wurde. Ungewöhnliche PowerShell-Aktivität. Neue, nicht anerkannte Programme oder Prozesse. Spürbare Verlangsamungen, kurz darauf gefolgt von Anzeichen einer RAT- oder Ransomware-Infektion. |
| Entfernungszeit | Ca. 15 Minuten für einen vollständigen Systemscan |
| Removal Tool | Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Wie bin ich so socGholish geworden??
SocGholish-Infektionen beginnen mit einem flüchtigen Besuch einer bereits kompromittierten Website – nicht mit etwas, das das Opfer absichtlich von einer nicht vertrauenswürdigen Quelle heruntergeladen hat.. So läuft es typischerweise ab:
- Besuch einer kompromittierten, aber legitimen Website — Die Untersuchungen von Check Point bestätigen, dass sich die Schadsoftware über Drive-by-Downloads auf ansonsten echten und vertrauenswürdigen Websites verbreitet., oft eher über einen in einer E-Mail geteilten Link als über eine Suchmaschine erreicht..
- Durchgesickerte WordPress-Zugangsdaten — Weil WordPress einen großen Teil des Webs antreibt, Angreifer verschaffen sich häufig Zugang zu den Backends von Websites durch zuvor geleakte Anmeldeinformationen., dann den schädlichen JavaScript-Code direkt in die Website einschleusen.
- Eine überzeugende gefälschte Update-Aufforderung — Sobald das eingefügte Skript ausgeführt wird, Es erfasst den Browser und das Betriebssystem des Besuchers., Anschließend wird eine angepasste Aktualisierungsaufforderung angezeigt, die als Chrome getarnt ist., Firefox, Adobe Flash Player, oder sogar Microsoft Teams.
- Domänen-Shadowing und rotierende Infrastruktur — Silent Push dokumentiert, dass die Betreiber Domains rotieren und Subdomains verwenden, die unter vertrauenswürdigen Domains erstellt wurden., Gekaperte Domains, um den Köder glaubwürdig erscheinen zu lassen und Sperrlisten zu umgehen..
Was macht SocGholish??
SocGholish ist eher als Gateway denn als Endnutzlast konzipiert., Und genau das macht es so gefährlich. Folgendes geschieht nach der Ausführung des gefälschten Updates.:
- Schafft eine Hintertür zur Angreiferinfrastruktur — Nach der Ausführung, Die Schadsoftware stellt eine Verbindung zu einem Command-and-Control-Server her., Dies bietet den Bedienern einen Ansatzpunkt, von dem aus sie weitere Werkzeuge an der Maschine anbringen können..
- Liefert eine Reihe von Folgenutzlasten — Zu den bestätigten Schadprogrammen, die über SocGholish-Infektionen verbreitet werden, gehören Remote-Access-Trojaner., Infostealer, Kobalt-Strike-Leuchtfeuer, und Ransomware-Varianten, je nachdem, welcher Käufer Zugang zu dem jeweiligen Opfer erwirbt.
- Wurde für staatliche Spionage eingesetzt — Cyberpress berichtete über eine Kampagne, bei der die mit Russland verbundene RomCom-Gruppe ihren Mythic Agent Loader über SocGholish gegen einen US-amerikanischen Gegner einsetzte.. Bauingenieurbüro mit Bezug zur Ukraine, Ausweitung des Anwendungsbereichs des Rahmenwerks über reine Finanzkriminalität hinaus.
- Wählt gezielt Opfer aus, bevor er zuschlägt — Das eingeschleuste Skript sammelt Betriebssysteminformationen, IP-Adresse, und Browserdetails zuerst, und gelangt nur dann zur Phase der gefälschten Aktualisierung, wenn der Besucher den für die Betreiber relevanten Kriterien entspricht..
Was sollten Sie tun?
Vertrauen Sie niemals einem unerwünschten Pop-up, das ein dringendes Browser- oder Software-Update fordert., Egal wie überzeugend es aussieht – legitime Updates erhalten Sie über die integrierten Einstellungen Ihres Betriebssystems oder den App Store., kein Website-Banner. Wenn Sie bereits eines heruntergeladen und ausgeführt haben, Trennen Sie die Netzwerkverbindung sofort, da SocGholish häufig genutzt wird, um innerhalb weniger Minuten einen RAT- oder Ransomware-Angriff durchzuführen.. Setzen Sie Ihren Browser auf die Standardeinstellungen zurück., Führen Sie einen vollständigen Scan mit einer aktualisierten Antiviren- oder EDR-Software durch., Ändern Sie Ihre Passwörter, sobald das System als sauber bestätigt wurde., da der Diebstahl von Zugangsdaten eine häufige Folgeerscheinung ist. Folgen Sie der vollständigen Entfernungsanleitung unterhalb dieses Artikels für die schrittweise Reinigung..
Ventsislav Krastev
Ventsislav ist seitdem Cybersicherheitsexperte bei SensorsTechForum 2015. Er hat recherchiert, Abdeckung, Unterstützung der Opfer bei den neuesten Malware-Infektionen sowie beim Testen und Überprüfen von Software und den neuesten technischen Entwicklungen. Nachdem auch graduierte-Marketing, Ventsislav hat auch eine Leidenschaft für das Erlernen neuer Veränderungen und Innovationen in der Cybersicherheit, die zu Spielverändernern werden. Nach dem Studium des Wertschöpfungskettenmanagements, Netzwerkadministration und Computeradministration von Systemanwendungen, Er fand seine wahre Berufung in der Cybersecrurity-Branche und glaubt fest an die Aufklärung jedes Benutzers über Online-Sicherheit.
Folge mir:
Preparation before removing SocGholish.
Vor dem eigentlichen Entfernungsprozess starten, Wir empfehlen Ihnen die folgenden Vorbereitungsschritte zu tun.
- Stellen Sie sicher, dass Sie diese Anweisungen haben immer offen und vor Ihren Augen.
- Führen Sie eine Sicherung aller Dateien, selbst wenn sie beschädigt werden könnten. Sie sollten Ihre Daten mit einer Cloud-Backup-Lösung und sichern Sie Ihre Dateien gegen jede Art von Verlust sichern, selbst von den schwersten Bedrohungen.
- Seien Sie geduldig, da dies könnte eine Weile dauern.
- Nach Malware durchsuchen
- Register reparieren
- Entfernen Sie Virendateien
Schritt 1: Scan for SocGholish with SpyHunter Anti-Malware Tool
Schritt 2: Reinigen Sie alle Register, created by SocGholish on your computer.
Die in der Regel gezielt Register von Windows-Rechnern sind die folgenden:
- HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion Run
- HKEY_CURRENT_USER Software Microsoft Windows Currentversion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows Currentversion RunOnce
Sie können auf sie zugreifen, indem Sie den Windows-Registrierungs-Editor und löschen Sie alle Werte öffnen, created by SocGholish there. Dies kann passieren, darunter indem Sie die Schritte:
Spitze: Um einen Virus erstellten Wert zu finden, Sie können sich auf der rechten Maustaste und klicken Sie auf "Ändern" um zu sehen, welche Datei es wird ausgeführt. Ist dies der Virus Speicherort, Entfernen Sie den Wert.Schritt 3: Find virus files created by SocGholish on your PC.
1.Für Windows- 8, 8.1 und 10.
Für neuere Windows-Betriebssysteme
1: Auf Ihrer Tastatur drücken + R und schreibe explorer.exe im Lauf Textfeld ein und klicken Sie dann auf die Ok Taste.
2: Klicke auf Ihren PC von der schnellen Zugriffsleiste. Dies ist in der Regel ein Symbol mit einem Monitor und sein Name ist entweder "Mein Computer", "Mein PC" oder "Dieser PC" oder was auch immer Sie haben es benannt.
3: Navigieren Sie zum Suchfeld oben rechts auf dem Bildschirm Ihres PCs und geben Sie ein "Dateierweiterung:" und wonach geben Sie die Dateierweiterung. Wenn Sie böswillige exe-Dateien suchen, Ein Beispiel kann sein, "Dateierweiterung:exe". Nachdem ich, dass, einen Raum verlassen und den Dateinamen, den Sie sich die Malware glauben geben Sie erstellt. Hier ist, wie es scheinen mag, wenn Ihre Datei gefunden wurde,:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Für Windows XP, Aussicht, und 7.
Für Ältere Windows-Betriebssysteme
In älteren Windows-Betriebssystemen sollte der herkömmliche Ansatz der effektive sein:
1: Klicken Sie auf die Startmenü Symbol (in der Regel auf der linken unteren) und wählen Sie dann die Suche Vorliebe.
2: Nachdem das Suchfenster erscheint, wählen Weitere Optionen von der Suchassistent Box. Eine andere Möglichkeit ist, indem Sie auf Alle Dateien und Ordner.
3: Nach dieser Art für den Namen der Datei, suchen Sie und klicken Sie auf die Schaltfläche Suchen. Dies könnte einige Zeit dauern, nach der Ergebnisse werden angezeigt. Wenn Sie die bösartige Datei gefunden, Sie können ihre Lage zu kopieren oder zu öffnen, indem Sie Rechtsklick auf sie.
Jetzt sollten Sie jede Datei unter Windows, so lange zu entdecken können, wie es auf der Festplatte ist und nicht über eine spezielle Software verborgen.
SocGholish FAQ
What Does SocGholish Trojan Do?
The SocGholish Trojan ist ein bösartiges Computerprogramm entworfen, um zu stören, Schaden, oder sich unbefugten Zugriff verschaffen an ein Computersystem. Es kann verwendet werden, um sensible Daten zu stehlen, Kontrolle über ein System erlangen, oder andere böswillige Aktivitäten starten.
Können Trojaner Passwörter stehlen??
Ja, Trojaner, like SocGholish, kann Passwörter stehlen. Diese Schadprogramme are designed to gain access to a user's computer, Opfer ausspionieren und vertrauliche Informationen wie Bankdaten und Passwörter stehlen.
Can SocGholish Trojan Hide Itself?
Ja, es kann. Ein Trojaner kann sich verschiedener Techniken bedienen, um sich zu maskieren, einschließlich Rootkits, Verschlüsselung, und Verschleierungs, um sich vor Sicherheitsscannern zu verstecken und der Entdeckung zu entgehen.
Kann ein Trojaner durch Zurücksetzen auf die Werkseinstellungen entfernt werden??
Ja, Ein Trojaner kann durch Zurücksetzen Ihres Geräts auf die Werkseinstellungen entfernt werden. Dies liegt daran, dass das Gerät in seinen ursprünglichen Zustand zurückversetzt wird, Entfernen von möglicherweise installierter Schadsoftware. Bedenken Sie, dass es ausgefeiltere Trojaner gibt, die Hintertüren hinterlassen und selbst nach einem Zurücksetzen auf die Werkseinstellungen erneut infizieren.
Can SocGholish Trojan Infect WiFi?
Ja, Es ist möglich, dass ein Trojaner WiFi-Netzwerke infiziert. Wenn sich ein Benutzer mit dem infizierten Netzwerk verbindet, Der Trojaner kann sich auf andere verbundene Geräte ausbreiten und auf vertrauliche Informationen im Netzwerk zugreifen.
Können Trojaner gelöscht werden?
Ja, Trojaner können gelöscht werden. Dies geschieht normalerweise durch Ausführen eines leistungsstarken Antiviren- oder Anti-Malware-Programms, das darauf ausgelegt ist, bösartige Dateien zu erkennen und zu entfernen. In einigen Fällen, Gegebenenfalls ist auch eine manuelle Löschung des Trojaners erforderlich.
Können Trojaner Dateien stehlen??
Ja, Trojaner können Dateien stehlen, wenn sie auf einem Computer installiert sind. Dies geschieht durch Zulassen der Malware-Autor oder Benutzer, sich Zugriff auf den Computer zu verschaffen und dann die darauf gespeicherten Dateien zu stehlen.
Welche Anti-Malware kann Trojaner entfernen?
Anti-Malware-Programme wie z SpyHunter sind in der Lage, Ihren Computer nach Trojanern zu durchsuchen und diese zu entfernen. Es ist wichtig, Ihre Anti-Malware auf dem neuesten Stand zu halten und Ihr System regelmäßig auf schädliche Software zu scannen.
Können Trojaner USB infizieren?
Ja, Trojaner können infizieren USB Geräte. USB-Trojaner verbreitet sich in der Regel über bösartige Dateien, die aus dem Internet heruntergeladen oder per E-Mail geteilt werden, allowing the hacker to gain access to a user's confidential data.
About the SocGholish Research
Die Inhalte, die wir auf SensorsTechForum.com veröffentlichen, this SocGholish how-to removal guide included, ist das Ergebnis umfangreicher Recherchen, harte Arbeit und die Hingabe unseres Teams, um Ihnen bei der Beseitigung des spezifischen Trojanerproblems zu helfen.
How did we conduct the research on SocGholish?
Bitte beachten Sie, dass unsere Forschung auf einer unabhängigen Untersuchung basiert. Wir stehen in Kontakt mit unabhängigen Sicherheitsforschern, Dank dessen erhalten wir täglich Updates zu den neuesten Malware-Definitionen, einschließlich der verschiedenen Arten von Trojanern (hintertür, Downloader, infostealer, Lösegeld, usw.)
Weiter, the research behind the SocGholish threat is backed with Virustotal.
Um die Bedrohung durch Trojaner besser zu verstehen, Bitte lesen Sie die folgenden Artikel, die sachkundige Details bieten.