O mais novo boletim informativo de threat intelligence da ISH Tecnologia chama a atenção para um tipo de ataque que tem como objetivo roubar informações confidenciais de organizações ao redor do mundo. Este ataque é conhecido como SocGholish, o qual combina o termo "Engenharia Social" e "Ghoulish" (para o português, algo ruim) e utiliza arquivos contendo códigos maliciosos em JavaScript para não ser notado ao infectar os sistemas das instituições.
Esta técnica é considerada avançada, tendo em vista que se infiltra nos sistemas e possibilita que cibercriminosos exfiltrem dados sigilosos. Com o objetivo de expandir sua rede de ataque e mapear novos alvos, os cibercriminosos utilizam também web beacons, técnica usada em páginas da web e e-mail para permitir verificar discretamente se um usuário acessou algum conteúdo, ocultos em assinaturas de mensagens eletrônicas e recursos compartilhados na rede. Além disso, destaca-se a capacidade de desenvolvimento de atualizações fraudulentas de navegadores, que contém downloads de arquivos mal-intencionados.
Em abril de 2024, a equipe da eSentire detectou que os elementos que constituem as peças-chave para a estratégia de infiltração do SocGholish estão associados ao JavaScript camuflado. Esse código malicioso inicia sua execução, acompanhado por ferramentas de automação. Assim, o script carrega um código mal-intencionado de URL e o grupo cessa sua execução para se esquivar dos sistemas de detecção automática.
A execução desse código script é a responsável por quase todo o processo de execução da operação elaborada pelo agente malicioso. Após o acesso aos servidores e navegadores das empresas, os atores maliciosos começam a acessar e extrair credenciais e informações sensíveis. Prosseguindo com a exfiltração, um comando subsequente é acionado para efetuar a cópia dos arquivos que armazenam as credenciais e os dados captados.
