Phishing wird immer heimtückischer
Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.
Juliane Heinen
SocGholish zeigt: Phishing wird unsichtbar — und Google Alert hilft den Angreifern
SocGholish ist ein Paradebeispiel für die Evolution von Phishing: Die Angreifer kompromittieren legitime Websites, nicht auffällige Fake-Seiten.
Das macht SocGholish besonders tückisch: Die infizierten Seiten tauchen in Google-Suchergebnissen und Google-Alert-Benachrichtigungen auf. Nutzer landen auf seriös wirkenden Websites und werden dort zum Download von Malware verleitet — getarnt als Browser-Update.
Die Angriffskette ist mehrstufig und arbeitsteilig: TA569 kompromittiert die Websites, SocGholish liefert die Payload — je nach Zielsystem WastedLocker, Hive, LockBit oder andere Ransomware-Varianten. Die Differenzierung nach Browser, Betriebssystem und Standort des Opfers erschwert die Analyse erheblich.
Bei NEOSEC erkennen wir SocGholish-Muster über unseren XIEM®-Stack:
• DNS-Monitoring: SocGholish nutzt charakteristische C2-Kommunikationsmuster, die sich über DNS-Anomalie-Erkennung identifizieren lassen
• Endpoint-Monitoring: Verdächtige Download-Aktivitäten und PowerShell-Ausführung nach Browser-Sessions werden in Echtzeit erkannt
• Web-Filtering: Bekannte SocGholish-Infrastruktur wird proaktiv blockiert
Schützt Ihre Sicherheitsarchitektur vor Angriffen, die über legitime Websites kommen? Sprechen Sie mit uns.
Proofpoint — TA569: SocGholish and Beyond
Spiceworks — SocGholish Malware Distributed on News Websites