被称为 SocGholish(又名 FakeUpdates)的 JavaScript 下载器恶意软件被用于提供一个名为 AsyncRAT 的远程访问木马以及一个名为 BOINC 的合法开源项目。
BOINC是Berkeley Open Infrastructure Network Computing Client的缩写,是由加州大学维护的开源“志愿者计算”平台,旨在使用安装应用程序的参与家用计算机进行“大规模分布式高吞吐量计算”。
“它以这种方式类似于加密货币矿工(使用计算机资源来工作),它实际上旨在奖励用户一种名为Gridcoin的特定类型的加密货币,旨在为此目的而设计,”Huntress研究人员Matt Anderson,Alden Schmidt和Greg Linares在上周发表的一份报告中说。
这些恶意安装旨在连接到参与者控制的域(“rosettahome[.]cn“或”rosettahome[.]top“),本质上充当命令和控制 (C2) 服务器来收集主机数据、传输有效负载和推送进一步的命令。截至 7 月 15 日,有 10,032 个客户端连接到这两个域。
这家网络安全公司表示,虽然它没有观察到受感染的主机正在执行任何后续活动或任务,但它假设“主机连接可能会被出售为初始访问载体,供其他参与者使用,并可能用于执行勒索软件。
SocGholish 攻击序列通常在用户登陆受感染网站时开始,系统会提示他们下载虚假的浏览器更新,该更新在执行时会触发对渗透计算机的附加有效负载的检索。
在这种情况下,JavaScript 下载器激活了两条脱节的链,一条导致部署 AsyncRAT 的无文件变体,另一条导致 BOINC 安装。
BOINC 应用(重命名为“SecurityHealthService.exe”或“trustedinstaller.exe”以逃避检测)通过 PowerShell 脚本使用计划任务设置持久性。
项目维护人员并没有忽视将 BOINC 用于恶意目的的情况,他们目前正在调查该问题并找到“击败此恶意软件”的方法。虐待的证据至少可以追溯到 2024 年 6 月 26 日。
研究人员说:“威胁行为者将该软件加载到受感染主机上的动机和意图目前尚不清楚。
“主动连接到恶意 BOINC 服务器的受感染客户端存在相当高的风险,因为有动机的威胁行为者可能会滥用此连接并在主机上执行任意数量的恶意命令或软件,以进一步提升权限或横向移动网络并破坏整个域。”
Check Point表示,它一直在跟踪恶意软件作者使用编译的V8 JavaScript来规避静态检测并隐藏远程访问木马,窃取程序,加载程序,加密货币矿工,擦除器和勒索软件。
“在安全专家和威胁行为者之间正在进行的战斗中,恶意软件开发人员不断想出新的技巧来隐藏他们的攻击,”安全研究员Moshe Marelus说。“他们开始使用V8并不奇怪,因为这项技术通常用于创建软件,因为它非常普遍且极难分析。