¿Qué es SocGholish??
De repente, apareció una ventana emergente en un sitio web que te indicaba que tu navegador necesitaba una actualización urgente., Lo descargaste y lo ejecutaste., y ahora algo no se siente bien, o su software de seguridad marcó SocGholish directamente. Lee este artículo ahora mismo., porque lo que parece una solicitud de actualización rutinaria es en realidad uno de los sistemas de distribución de malware más activos que existen actualmente.. Siga la guía de extracción que se encuentra al final inmediatamente..
SocGholish, También se le rastrea bajo el alias FakeUpdates., es un malware de carga basado en JavaScript que ha estado activo desde 2017 y es operada como un negocio de malware como servicio por un grupo identificado como TA569., también conocida como Tempestad de Mostaza. SiteLock lo describe como un malware que utiliza ingeniería social para engañar a los usuarios e inducirlos a instalar software malicioso disfrazado de navegador legítimo o actualización del sistema., basarse en la confianza del usuario en lugar de en una vulnerabilidad del software.. Una vez instalado, La investigación de Silent Push confirma que TA569 actúa eficazmente como un intermediario de acceso inicial., vender el acceso a sistemas infectados a otros grupos criminales para realizar ataques posteriores, incluido el ransomware.. Una reciente operación policial detallada por Cybersecurity News incautó 106 servidores y 101 dominios vinculados a la red y encontraron que las credenciales de inicio de sesión de 1.4 Se habían filtrado millones de sitios de WordPress., dejando un enorme conjunto de sitios web legítimos disponibles para ser comprometidos silenciosamente y utilizados para servir el señuelo de actualización falsa..
Resumen breve de SocGholish
| Escribe | Malware de carga basado en JavaScript (FakeUpdates) operado como Malware-as-a-Service por el grupo TA569. Se propaga mediante descargas automáticas en sitios web legítimos comprometidos y distribuye troyanos de acceso remoto (RAT)., ladrones de información, Balizas de Cobalt Strike, y ransomware. |
| Los síntomas | Una ventana emergente que exige un navegador urgente, Flash, o una actualización de Microsoft Teams en un sitio que normalmente no mostraría una. Un archivo de actualización descargado que fue ejecutado. Actividad inusual de PowerShell. Nuevos programas o procesos no reconocidos. Ralentizaciones notables seguidas poco después por signos de una infección por RAT o ransomware.. |
| Tiempo de eliminación | Aproximadamente 15 minutos para un análisis completo del sistema |
| Herramienta de eliminación | Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
¿Cómo me volví SocGholish??
Las infecciones de SocGholish comienzan con una visita rápida a un sitio que ya ha sido comprometido, no con nada que la víctima haya descargado deliberadamente de una fuente no confiable.. Así es como suele desarrollarse:
- Visitar un sitio web comprometido pero legítimo — La investigación de Check Point confirma que el malware se propaga mediante descargas automáticas en sitios web que, por lo demás, son reales y confiables., A menudo se accede a través de un enlace compartido en un correo electrónico en lugar de un resultado de búsqueda..
- Credenciales de WordPress filtradas — Porque WordPress impulsa una gran parte de la web., Los atacantes suelen acceder a los sistemas internos de los sitios web mediante credenciales de inicio de sesión previamente filtradas., Luego, inyecta el JavaScript malicioso directamente en el sitio..
- Un aviso de actualización falso y convincente — Una vez que se ejecuta el script inyectado, Registra la huella digital del navegador y del sistema operativo del visitante., Luego muestra un aviso de actualización personalizado disfrazado de Chrome., Firefox, Adobe Flash Player, o incluso Microsoft Teams.
- Dominio en segundo plano e infraestructura rotativa — Silent Push documenta que los operadores rotan dominios y utilizan subdominios creados bajo confianza., Dominios secuestrados para que el engaño parezca creíble y para evadir las listas negras..
¿Qué hace SocGholish??
SocGholish está diseñado como una puerta de enlace en lugar de una carga útil de etapa final., que es precisamente lo que lo hace tan peligroso. Esto es lo que sucede después de que se ejecuta la actualización falsa.:
- Establece una puerta trasera a la infraestructura del atacante. — Una vez ejecutado, El malware se conecta a un servidor de comando y control., lo que proporciona a los operarios un punto de apoyo desde el cual empujar más herramientas sobre la máquina..
- Ofrece una variedad de cargas útiles de seguimiento. — Entre las cargas útiles confirmadas que se propagan a través de las infecciones de SocGholish se incluyen troyanos de acceso remoto., ladrones de información, Balizas de Cobalt Strike, y cepas de ransomware, dependiendo de qué comprador adquiera acceso a esa víctima en particular.
- Se ha utilizado para el espionaje de estados-nación. — Cyberpress informó sobre una campaña en la que el grupo RomCom, vinculado a Rusia, desplegó su cargador Mythic Agent a través de SocGholish contra un estadounidense. Empresa de ingeniería civil vinculada a proyectos relacionados con Ucrania, Ampliar el uso del marco más allá de los delitos puramente financieros..
- Selecciona a sus víctimas antes de atacar. — El script inyectado recopila el sistema operativo, Dirección IP, y detalles del navegador primero, y solo avanza a la etapa de actualización falsa si el visitante coincide con los criterios que interesan a los operadores..
¿Qué debe hacer?
Nunca confíes en una ventana emergente no solicitada que exija una actualización urgente del navegador o del software., Por muy convincente que parezca, las actualizaciones legítimas se obtienen a través de la configuración integrada de tu sistema operativo o de la tienda de aplicaciones., no es un banner de sitio web. Si ya descargaste y ejecutaste uno, Desconéctese de la red inmediatamente, dado que SocGholish se utiliza con frecuencia para desplegar un RAT o ransomware en cuestión de minutos.. Restablece tu navegador a su configuración predeterminada., Ejecute un análisis completo con un software antivirus o EDR actualizado., y cambie sus contraseñas una vez que se confirme que el sistema está limpio., ya que el robo de credenciales es una carga útil de seguimiento común. Siga la guía de eliminación completa que se encuentra debajo de este artículo para obtener instrucciones detalladas paso a paso para la limpieza..
Ventsislav Krastev
Ventsislav es un experto en ciberseguridad en SensorsTechForum desde 2015. El ha estado investigando, cubierta, ayudando a las víctimas con las últimas infecciones de malware, además de probar y revisar software y los últimos desarrollos tecnológicos. Tener la comercialización graduado, así, Ventsislav también tiene pasión por aprender nuevos cambios e innovaciones en ciberseguridad que se conviertan en un cambio de juego.. Después de estudiar Value Chain Management, Administración de redes y administración de computadoras de aplicaciones del sistema, encontró su verdadero llamado dentro de la industria de la ciberseguridad y cree firmemente en la educación de cada usuario hacia la seguridad en línea.
Sígueme:
Preparation before removing SocGholish.
Antes de iniciar el proceso de eliminación real, se recomienda que usted hace los siguientes pasos de preparación.
- Asegúrate de que tienes estas instrucciones siempre abierto y delante de sus ojos.
- Hacer una copia de seguridad de todos sus archivos, aunque pudieran ser dañados. Debe hacer una copia de seguridad de sus datos con una solución de copia de nube y asegurar sus archivos contra cualquier tipo de pérdida, incluso de las amenazas más graves.
- Ser paciente ya que esto podría tomar un tiempo.
- Escanear en busca de malware
- Arreglar registros
- Eliminar archivos de virus
Paso 1: Scan for SocGholish with SpyHunter Anti-Malware Tool
Paso 2: Limpiar los registros, created by SocGholish on your computer.
Los registros normalmente dirigidos de máquinas Windows son los siguientes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Puede acceder a ellos abriendo el editor del registro de Windows y eliminar cualquier valor, created by SocGholish there. Esto puede ocurrir siguiendo los pasos debajo:
Propina: Para encontrar un valor creado por virus, usted puede hacer clic derecho sobre él y haga clic "Modificar" para ver qué archivo que está configurado para ejecutarse. Si esta es la ubicación del archivo de virus, quitar el valor.Paso 3: Find virus files created by SocGholish on your PC.
1.Para Windows 8, 8.1 y 10.
Para más nuevos sistemas operativos Windows
1: En su teclado de prensa + R y escribe explorer.exe en el Carrera cuadro de texto y haga clic en el OK botón.
2: Haga clic en su PC en la barra de acceso rápido. Esto suele ser un icono con un monitor y su nombre es ya sea "Mi computadora", "Mi PC" o "Este PC" o lo que sea que usted ha nombrado.
3: Navegue hasta el cuadro de búsqueda en la esquina superior derecha de la pantalla de su PC y escriba "FileExtension:" y después de lo cual escriba la extensión de archivo. Si usted está buscando para ejecutables maliciosos, Un ejemplo puede ser "FileExtension:exe". Después de hacer eso, dejar un espacio y escriba el nombre del archivo que cree que el malware ha creado. Aquí es cómo puede aparecer si se ha encontrado el archivo:
N.B. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para Windows XP, Vista, y 7.
Para más viejos sistemas operativos Windows
En los sistemas operativos Windows más antiguos, el enfoque convencional debería ser el efectivo:
1: Haga clic en el Menu de inicio icono (por lo general en su parte inferior izquierda) y luego elegir el Búsqueda preferencia.
2: Después de que aparezca la ventana de búsqueda, escoger Más opciones avanzadas Del cuadro de asistente de búsqueda. Otra forma es haciendo clic en Todos los archivos y carpetas.
3: Después de ese tipo el nombre del archivo que está buscando y haga clic en el botón Buscar. Esto puede llevar algún tiempo después del cual aparecerán resultados. Si usted ha encontrado el archivo malicioso, usted puede copiar o abrir por su ubicación botón derecho del ratón en eso.
Ahora usted debería ser capaz de descubrir cualquier archivo en Windows, siempre y cuando se encuentra en su disco duro y no se oculta a través de un software especial.
SocGholish FAQ
What Does SocGholish Trojan Do?
The SocGholish Trojan es un programa informático malicioso diseñado para interrumpir, dañar, u obtener acceso no autorizado a un sistema informático. Se puede utilizar para robar datos confidenciales., obtener el control de un sistema, o lanzar otras actividades maliciosas.
¿Pueden los troyanos robar contraseñas??
Sí, Troyanos, like SocGholish, puede robar contraseñas. Estos programas maliciosos are designed to gain access to a user's computer, espiar a las víctimas y robar información confidencial como datos bancarios y contraseñas.
Can SocGholish Trojan Hide Itself?
Sí, puede. Un troyano puede usar varias técnicas para enmascararse, incluyendo rootkits, cifrado, y ofuscación, para esconderse de los escáneres de seguridad y evadir la detección.
¿Se puede eliminar un troyano restableciendo los valores de fábrica??
Sí, un troyano se puede eliminar restableciendo los valores de fábrica de su dispositivo. Esto se debe a que restaurará el dispositivo a su estado original., eliminando cualquier software malicioso que pueda haber sido instalado. Tenga en cuenta que hay troyanos más sofisticados que dejan puertas traseras y vuelven a infectar incluso después de un restablecimiento de fábrica..
Can SocGholish Trojan Infect WiFi?
Sí, es posible que un troyano infecte redes WiFi. Cuando un usuario se conecta a la red infectada, el troyano puede propagarse a otros dispositivos conectados y puede acceder a información confidencial en la red.
¿Se pueden eliminar los troyanos??
Sí, Los troyanos se pueden eliminar. Esto generalmente se hace ejecutando un poderoso programa antivirus o antimalware que está diseñado para detectar y eliminar archivos maliciosos.. En algunos casos, también puede ser necesaria la eliminación manual del troyano.
¿Pueden los troyanos robar archivos??
Sí, Los troyanos pueden robar archivos si están instalados en una computadora. Esto se hace permitiendo que el autor de malware o usuario para obtener acceso a la computadora y luego robar los archivos almacenados en ella.
¿Qué antimalware puede eliminar troyanos??
Programas anti-malware como SpyHunter son capaces de buscar y eliminar troyanos de su computadora. Es importante mantener su anti-malware actualizado y escanear regularmente su sistema en busca de cualquier software malicioso..
¿Pueden los troyanos infectar USB??
Sí, Los troyanos pueden infectar USB dispositivos. Troyanos USB normalmente se propaga a través de archivos maliciosos descargados de Internet o compartidos por correo electrónico, allowing the hacker to gain access to a user's confidential data.
About the SocGholish Research
El contenido que publicamos en SensorsTechForum.com, this SocGholish how-to removal guide included, es el resultado de una extensa investigación, trabajo duro y la dedicación de nuestro equipo para ayudarlo a eliminar el problema específico de los troyanos.
How did we conduct the research on SocGholish?
Tenga en cuenta que nuestra investigación se basa en una investigación independiente. Estamos en contacto con investigadores de seguridad independientes, gracias a lo cual recibimos actualizaciones diarias sobre las últimas definiciones de malware, incluidos los diversos tipos de troyanos (puerta trasera, downloader, Infostealer, rescate, etc)
Además, the research behind the SocGholish threat is backed with VirusTotal.
Para comprender mejor la amenaza que representan los troyanos, Consulte los siguientes artículos que proporcionan detalles informados..