// CLUBIC — CYBERSECURITY
Opération Endgame : les forces de l’ordre internationales frappent SocGholish, faussaire de mises à jour et complice de ransomwares
Près de 15 000 sites WordPress compromis par SocGholish ont été nettoyés dans le cadre de l'Operation Endgame. L'action, coordonnée avec Europol et Eurojust, vise une chaîne d’infection liée au groupe cybercriminel Evil Corp.
L'Opération Endgame poursuit son travail de démantèlement, cette fois contre l’une des chaînes d’infection les plus installées du cybercrime. Le 18 juin, les autorités des Pays-Bas, du Canada, des États-Unis et d’Allemagne, soutenues par Europol, ont annoncé une action coordonnée contre TA569, le groupe associé à SocGholish, aussi connu sous les noms FakeUpdates et GhoLoader. D’après Proofpoint, qui dit avoir fourni des informations pour soutenir l’enquête, l’opération a conduit à la mise hors ligne de plus de 100 serveurs et domaines, ainsi qu’au nettoyage de 14 971 sites web compromis.
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Pour bien comprendre ce que les autorités viennent de frapper, il faut rappeler ce qu’est SocGholish. Associée au groupe TA569, lui-même publiquement lié au groupe cybercriminel russe Evil Corp, cette chaîne d’infection repose sur des sites légitimes compromis, souvent sous WordPress, dans lesquels les attaquants injectent du code chargé de rediriger une partie des visiteurs vers de fausses notifications de mise à jour de navigateur. L’internaute croit télécharger un correctif Chrome, Edge ou Firefox depuis une page dont il n’a aucune raison de se méfier, mais récupère en réalité une première charge malveillante, capable d’ouvrir la voie à d’autres infections.
Dans le détail, Proofpoint décrit une chaîne structurée en trois temps. D’abord, les injections SocGholish sont servies depuis les sites compromis. Ensuite, un service de distribution de trafic filtre les visiteurs selon leur pays, leur navigateur, leur système d’exploitation ou d’autres critères. Enfin, la charge finale, souvent GhoLoader, peut conduire à des infections plus lourdes, notamment à des déploiements de ransomware dans des environnements Active Directory. Au fil des années, les injections SocGholish ont ainsi été associées à plusieurs familles connues, dont WastedLocker, LockBit et RansomHub.
Proofpoint suit TA569 et les infections SocGholish depuis 2018. En huit ans, cette technique de fausse mise à jour a eu le temps de sortir de son propre écosystème, d’inspirer d’autres groupes comme ClearFake, ZPHP ou ErrTraffic, et de s’installer sur des sites à forte audience. Au moment de l’opération, plusieurs plateformes compromises dans les médias, le commerce en ligne, la santé ou l’éducation recevaient encore des millions de visites quotidiennes.
L’opération annoncée le 18 juin ne mettra sans doute pas fin aux fausses mises à jour piégées, mais elle porte un sérieux coup d’arrêt à l’un de leurs acteurs historiques. Les forces de l’ordre ont annoncé avoir saisi plus de 100 serveurs et domaines liés à l’infrastructure de TA569, et nettoyé les sites compromis qui servaient de relais à SocGholish. Cette action devrait perturber sa capacité de diffusion, sa réputation dans l’écosystème criminel et, très probablement, ses revenus. D’autres groupes actifs dans ce type d’injection pourraient toutefois profiter de l’espace laissé par l’affaiblissement de TA569.
Les propriétaires de sites concernés ne peuvent pas non plus se contenter du nettoyage opéré par les autorités. La police néerlandaise recommande de reprendre les accès en main, en activant l’authentification multifacteur, en renouvelant les mots de passe, en limitant les comptes administrateurs et en supprimant les extensions ou thèmes inutilisés. Elle conseille aussi de surveiller les modifications de fichiers, de bloquer l’exécution de fichiers PHP dans les répertoires d’upload et de conserver des sauvegardes hors du serveur web. Car si les injections visibles ont été retirées, des identifiants compromis, des comptes inconnus ou des portes dérobées peuvent toujours permettre à u