Szkodliwe oprogramowanie pobierające JavaScript, znane jako SocGholish lub FakeUpdates, jest wykorzystywane do dostarczania trojana zdalnego dostępu o nazwie AsyncRAT, a także legalnego projektu open source o nazwie BOINC.
BOINC to akronim od „Berkeley Open Infrastructure Network Computing Client”. Jest to służąca do przetwarzania danych platforma o otwartym kodzie źródłowym, dla ochotników, utrzymywana przez Uniwersytet Kalifornijski w celu przeprowadzania „rozproszonych obliczeń na dużą skalę, o dużej przepustowości” przy użyciu uczestniczących komputerów domowych, na których aplikacja jest zainstalowana.
Pod tym względem przypomina koparkę kryptowalut (wykorzystuje do pracy zasoby komputera) i tak naprawdę ma na celu nagradzanie użytkowników określonym rodzajem kryptowaluty – Gridcoin, zaprojektowanej w tym celu.
Celem złośliwych instalacji jest łączenie się z domeną kontrolowaną przez atakującego („rosettahome[.]cn” lub „rosettahome[.]top”), działającą zasadniczo jako serwer C&C do gromadzenia danych hosta, przesyłania ładunku i dalszych poleceń. Na dzień 22 lipca do obu domen podłączonych było ponad 12 000 klientów.
Sekwencje ataków SocGholish zwykle rozpoczynają się, gdy użytkownicy trafiają na zainfekowane strony internetowe, gdzie są proszeni o pobranie fałszywej aktualizacji przeglądarki, która po uruchomieniu powoduje pobranie dodatkowych ładunków z infiltrowanych maszyn.
W tym przypadku moduł pobierania JavaScript aktywuje dwa rozłączne łańcuchy, jeden prowadzący do wdrożenia bezplikowej wersji AsyncRAT, a drugi powodujący instalację BOINC, co widzimy na schemacie poniżej.
Aplikacja BOINC, której nazwę zmieniono na „SecurityHealthService.exe” lub „trustedinstaller.exe”, aby uniknąć wykrycia, ustanawia trwałość w systemie przy użyciu zaplanowanego zadania i z pomocą skryptu PowerShell.
Wykorzystanie BOINC do szkodliwych celów nie pozostało niezauważone przez opiekunów projektu, którzy obecnie badają problem i znajdują sposób na pokonanie złośliwego programu. Dowody nadużycia pochodzą co najmniej z 26 czerwca 2024 r.
Poniżej widzimy ciekawą cykliczną zmianę nazw serwerów C2, którą stosują atakujący:
„Motywacja i zamiary osoby zagrażającej, która ładowała to oprogramowanie na zainfekowane hosty, nie są w tej chwili jasne” – twierdzą badacze.
„Zainfekowani klienci aktywnie łączący się ze złośliwymi serwerami BOINC stwarzają dość wysokie ryzyko, ponieważ zmotywowany haker może niewłaściwie wykorzystać to połączenie i wykonać na hoście dowolną liczbę złośliwych poleceń lub oprogramowania w celu dalszej eskalacji uprawnień czy bocznego przejścia przez sieć”.
Rozwój tematu nastąpił po tym, jak firma Check Point stwierdziła, że śledzi użycie skompilowanego kodu JavaScript V8 przez autorów złośliwego oprogramowania. Wszystko na potrzeby ominięcia wykrycia statycznego i ukrycia trojanów, złodziei, programów ładujących, koparek kryptowalut i oprogramowania ransomware umożliwiającego zdalny dostęp.
„W toczącej się bitwie między ekspertami ds. bezpieczeństwa a podmiotami zajmującymi się zagrożeniami twórcy złośliwego oprogramowania stale wymyślają nowe sztuczki, aby ukryć swoje ataki” – powiedział badacz bezpieczeństwa Moshe Marelus. „Nic dziwnego, że zaczęli używać wersji V8, ponieważ technologia ta jest powszechnie wykorzystywana do tworzenia oprogramowania – jest bardzo rozpowszechniona i niezwykle trudna do analizy”.