【安全资讯】SocGholish恶意软件：潜伏在假浏览器更新中的无声威胁

概要：

SocGholish是一种复杂的JavaScript恶意软件框架，自2017年出现以来一直是一个持续的威胁。该恶意软件伪装成关键的浏览器更新，诱骗用户下载并执行恶意文件，导致严重的安全漏洞和财务损失。

主要内容：

SocGholish的主要目标是通过显示假浏览器更新通知来诱骗用户下载恶意软件。一旦执行，这些文件会部署各种恶意负载，包括远程访问木马（RAT）和信息窃取程序，导致严重的安全漏洞和财务损失。SocGholish不仅影响个人用户，还与多起高调的网络攻击有关，如SolarWinds攻击和EvilCorp勒索软件攻击。

SocGholish使用多种欺骗手段来实现其恶意目标，包括在受感染网站上显示逼真的假浏览器更新提示，这些提示模仿Chrome、Firefox和Edge等流行浏览器的合法更新通知，诱使用户手动下载和执行文件。这些文件通常以.zip或.js格式出现，看似无害，但实际上充满了恶意软件。

一旦执行，SocGholish可以部署各种类型的二次恶意软件，包括远程访问木马、信息窃取程序和Cobalt Strike信标。这些恶意软件可以进一步利用网络，进行横向移动，为更严重的攻击如勒索软件铺平道路。SocGholish使用高级技术分发其恶意负载，如域名阴影和WordPress插件。攻击者将恶意软件捆绑到看似合法的插件中，使用受感染的WordPress管理员凭证上传和激活这些插件。

SocGholish运营商还运行联盟计划，鼓励第三方黑客组织将SocGholish脚本加载到受感染的网站上。一些常见的例子包括NDSW/NDSX注入和Khutmhpx注入，这些变种通过在受感染网站上注入混淆的JavaScript，使得检测和移除变得困难。理解SocGholish的运作方式并实施强有力的安全措施，可以减轻其影响，保护我们的数字环境。