به گزارش کارگروه امنیت سایبربان؛ شرکت امنیت سایبری پروف پوینت (Proofpoint)، گزارشی منتشر کرده که نشان می دهد سایتهای خبری مختلف پس از قربانی شدن در یک حمله زنجیره تأمین، در حال دریافت یک بدافزار هستند. این حمله زنجیره تأمین در حال گسترش، توسط گروه TA569 و بهوسیله بدافزاری به نام ساکگولیش (SocGholish) در حال وقوع است که در حال حاضر رسانههای خبری مختلف را هدف قرار می دهد. این بدافزار بهعنوان بدافزار بهروزرسانی جعلی نیز شناخته میشود؛ زیرا با پنهان کردن خود بهعنوان یک بهروزرسانی واقعی، خود را در نرمافزار میگنجاند. شرکتهای امنیت سایبری احتمال میدهند که این بدافزار توسط گروه هکری اویل کورپ روسیه معرفی شده باشد. بااینحال پروف پوینت این موضوع را تأیید نکرد و گفت گروه روسی اویل کورپ (Evil Corp) مانند گروه TA569 نیست.
پروف پوینت در مورد نحوه این حمله گفت، گروه TA569 نوعی تهدید زنجیره تأمین است که به سرورهای مدیریت محتوا آسیب میرساند و تمام ترافیک سایت را به کیتهای مهندسی اجتماعی هدایت میکند. سپس بدافزار ساکگولیش کاربران را فریب می دهد تا مرورگرهای خود را بهروز کنند. کاربران توجه زیادی به جاوا اسکریپت نمیکنند زیرا بدافزار بهعنوان یک بهروزرسانی واقعی پنهان شده است و به همین دلیل در سایت راهاندازی خواهد شد. این بدافزار از یک شرکت رسانهای شروع شد که بسیاری از رسانههای خبری زیر نظر آن هستند.
بسیاری از رسانههای خبری در شیکاگو، میامی، نیویورک، بوستون، واشنگتن و غیره تحت تأثیر این تهدید قرار گرفتهاند. بر اساس محاسبات تقریبی، بیش از 250 سایت خبری در حال حاضر این جاوا اسکریپت جدید را دانلود کردهاند و اکنون از یک سیستم آلوده به بدافزار استفاده میکنند.
بسیاری از شرکتهای امنیت سایبری در تلاش هستند تا از انتشار این بدافزار جلوگیری کنند. اگر وبسایتهای بیشتری از آن جاوا اسکریپت با بدافزار استفاده کنند، تهدیدهای بیشتری برای افرادی که از سایتها استفاده میکنند و به آنها دسترسی دارند، ایجاد خواهد شد. در حال حاضر، کاری که سایتها میتوانند انجام دهند این است که بهروزرسانیهای جدید جاوا اسکریپت خود را با دقت بخوانند و سعی کنند بدافزار پنهان را شناسایی کنند. برای یک فرد عادی، تشخیص آن سخت است، اما تا زمانی که امنیت سایبری کاری انجام ندهد، مردم خود باید کاری کنند.
