Criminosos utilizam falsas atualizações para infectar computadores; ação alerta sobre plataforma criminosa

Campanha SocGholish usa falsas atualizações para roubo de dados e disseminação de malware via sites comprometidos.
Atualizado há 7 horas
Criminosos utilizam falsas atualizações para infectar computadores; ação alerta sobre plataforma criminosa
(Imagem/Reprodução: Tecmundo)
Resumo da notícia
    • Cibercriminosos usam falsas atualizações de software para infectar computadores e roubar informações sensíveis com o SocGholish.
    • Você deve evitar baixar atualizações via pop-ups suspeitos e sempre conferir atualizações diretamente nos sites oficiais ou configurações do sistema.
    • Esse ataque pode comprometer sites legítimos e afetar empresas e usuários, expondo informações e sistemas a riscos elevados.
    • A estrutura é alugada para diversos criminosos, aumentando a escala e a sofisticação dos ataques digitais no mundo.
CONTINUA DEPOIS DA PUBLICIDADE

Cuidado com atualizações de software! Uma nova campanha de ciberataques, identificada como SocGholish, está usando falsas atualizações para enganar usuários e realizar o SocGholish roubo de informações sensíveis de empresas. Conhecida também como FakeUpdates, esta ameaça se aproveita de uma plataforma de malware-as-a-service (MaaS), um modelo de negócio digital onde criminosos alugam infraestrutura maliciosa.

👉
Acompanhe as noticias no seu WhatsAp! entre no nosso grupo
Entre agora

Nesse esquema clandestino, a infraestrutura é cedida para outros atacantes. Eles utilizam essa rede para espalhar arquivos maliciosos, tudo por meio de sites legítimos que foram comprometidos. A detecção do SocGholish foi feita pela LevelBlue.

Como a Campanha SocGholish Opera

O SocGholish está ativo desde 2017 e é gerenciado pelo grupo cibercriminoso TA 569. Em um caso recente, no início de 2025, a plataforma foi usada para distribuir o ransomware RansomHub. Este ataque resultou em incidentes graves no setor de saúde dos Estados Unidos, afetando grandes nomes como a Change Healthcare e a rede de farmácias Rite Aid.

CONTINUA DEPOIS DA PUBLICIDADE

A forma de ataque é relativamente simples, mas eficaz. Os criminosos conseguem comprometer sites legítimos e injetam scripts maliciosos neles. O objetivo é fazer com que os visitantes desses sites pensem que precisam baixar atualizações de software que parecem reais. No entanto, essas “atualizações” são, na verdade, os programas maliciosos.

Os sites que geralmente são comprometidos são aqueles vulneráveis, muitas vezes utilizando a plataforma WordPress com contas de administrador já invadidas. Existe também uma técnica avançada empregada pelos criminosos chamada Domain Shadowing. Ela consiste em criar subdomínios maliciosos dentro de endereços de sites legítimos, buscando enganar as verificações de segurança e passar despercebida.

A estratégia dos operadores do SocGholish vai além da simples isca. Depois de conseguir invadir um site, eles usam sistemas de distribuição de tráfego (TDS), como o Keitaro e o Parrot TDS. Essas ferramentas funcionam como filtros bastante inteligentes, capazes de analisar cada pessoa que acessa o site infectado, observando detalhes como a localização geográfica, o sistema operacional e as configurações do navegador de internet utilizado.

Somente os visitantes que se encaixam em um perfil específico, o da vítima ideal, recebem o payload malicioso, que é a carga útil do ataque. É um método de segmentação de público comparável ao de uma campanha de marketing, mas com a finalidade de espalhar malware. Isso mostra a sofisticação da operação para atingir alvos específicos e maximizar o impacto.

SocGholish: A Plataforma de Crime Digital

O SocGholish não é uma ferramenta de uso exclusivo do grupo TA 569. Na verdade, ele se tornou um dos principais produtos oferecidos por essa organização. Eles montaram uma operação comercial completa e bem estruturada, disponibilizando acesso a essa vasta infraestrutura de sites comprometidos para qualquer criminoso que esteja disposto a pagar pelo serviço.

É um verdadeiro malware como serviço: após efetuar o pagamento, o criminoso recebe as credenciais necessárias e pode utilizar toda a rede de sites infectados. Com isso, ele pode distribuir o que desejar, como programas de ransomware, trojans e até ladrões de senhas. Esse modelo de negócios fez com que a plataforma fosse comparada a uma “Netflix do crime digital”, pela facilidade de acesso a diversas ferramentas maliciosas.

socgolish-google-alerta.png
Sites usados pelos criminosos parecem tão legítimos que são referenciados até mesmo no Google Alerta. Imagem: ProofPoint.
CONTINUA DEPOIS DA PUBLICIDADE

Os “assinantes” desse serviço não são amadores. Entre os clientes mais conhecidos está o Evil Corp, uma organização russa de cibercrime. Essa organização tem ligações diretas com os serviços de inteligência da Rússia. Pesquisadores também encontraram conexões com a GRU, uma agência de inteligência militar russa, especificamente com a Unidade 29155, conhecida por suas operações de sabotagem e espionagem cibernética.

Após a infecção por meio do SocGholish, o leque de ameaças que a vítima pode enfrentar é bastante variado. Dependendo de quem alugou o acesso à plataforma, a vítima pode receber diversos tipos de ataques. Isso inclui desde ransomware de famílias como LockBit e RansomHub até trojans de acesso remoto, como o AsyncRAT, além de diferentes programas de roubo de credenciais e dados pessoais.

Um dos payloads identificados foi o worm Raspberry Robin, famoso por sua capacidade de se espalhar rapidamente através de dispositivos USB infectados. Essas consequências já se manifestam, como no caso dos ataques ao setor de saúde nos Estados Unidos no início de 2025.

Naquele período, a plataforma SocGholish foi utilizada para distribuir o ransomware RansomHub, causando estragos consideráveis. Em um dos incidentes, criminosos criaram anúncios maliciosos no Google que se passavam pelo portal de RH da Kaiser Permanente. Usuários que clicavam, pensando que acessavam o site oficial do plano de saúde, acabavam com seus sistemas infectados.

Esse mesmo tipo de esquema levou a ataques diretos contra a Change Healthcare e a popular rede de farmácias Rite Aid, mostrando a gravidade e o alcance da campanha. A facilidade com que esses ataques são realizados ressalta a importância da prevenção.

Orientações para Proteger seu Sistema

O que torna o SocGholish particularmente perigoso é sua grande capacidade de adaptação e escala. Não se trata de um ataque isolado, vindo de um grupo específico com objetivos bem definidos. É uma infraestrutura criminosa que pode ser alugada por qualquer um.

Isso transforma milhares de sites, que antes eram considerados confiáveis, em vetores de infecção simultâneos. Para se proteger dessas ameaças digitais, é fundamental seguir algumas orientações importantes e estar sempre atento.

  • Nunca baixe atualizações através de pop-ups: Navegadores legítimos como Chrome, Firefox, Safari e Edge geralmente se atualizam de forma automática em segundo plano, ou apenas exibem notificações dentro de suas próprias configurações. Se surgir uma mensagem pedindo para baixar uma atualização enquanto você navega, feche essa janela imediatamente, pois pode ser uma armadilha.
  • Verifique atualizações manualmente: Caso você receba alguma notificação de atualização que pareça suspeita, o ideal é ir diretamente às configurações do seu navegador ou sistema operacional e verificar por atualizações oficiais por lá. Esse é sempre o caminho mais seguro e confiável para garantir que você está instalando software legítimo.
  • Mantenha WordPress atualizado: Se você é um administrador de site, é crucial manter o WordPress e todos os plugins sempre atualizados. A maioria das infecções pelo SocGholish acontece em versões desatualizadas da plataforma, que possuem vulnerabilidades já conhecidas e que os criminosos exploram para ter acesso.
  • Use autenticação forte: É essencial implementar senhas robustas para todas as suas contas de administrador, tanto em sites quanto em outras plataformas. Além disso, ative a autenticação de dois fatores em todos os serviços que gerencia. Isso adiciona uma camada extra de segurança, dificultando o comprometimento inicial da conta, mesmo que a senha seja descoberta.
  • Desconfie de urgência artificial: Sites legítimos raramente exigem versões muito específicas de um navegador para funcionar corretamente. Mensagens que criam um senso de urgência, pedindo que você baixe algo rapidamente, são uma tática clássica de engenharia social. Elas buscam fazer com que você aja sem pensar, abrindo brechas para ataques.

A adaptabilidade e a escala dessa infraestrutura criminosa reforçam a necessidade constante de vigilância. A capacidade de transformar milhares de sites confiáveis em ferramentas de ataque simultâneo exige uma postura proativa e informada para proteger seus dados e sistemas. A segurança digital é uma responsabilidade contínua, que pede atenção aos detalhes e atualização constante.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.

malware-as-a-serviceSegurançaSocGholish
André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.

Relacionados

A Ameaça Cibernética que Paralisa Empresas e Instituições em Todo o Mundo 1
A Ameaça Cibernética que Paralisa Empresas e Instituições em Todo o Mundo
Posts
homem sorrindo utilizando o celular e fones de ouvido
Detecção em Tempo Real: Como os Antivírus Previnem as Ameaças Mais Recentes?
Posts
Logo do portal Noticia Agora
@2025 Tekimobile
Por Naweb Marketing