Uma campanha identificada como SocGholish, ou FakeUpdates, usa pop-ups de atualização do navegador para instalar malware e roubar dados de empresas desde 2017. O esquema, detalhado pela LevelBlue, é operado pelo grupo TA 569 e ganhou força no início de 2025, quando foi empregado para distribuir o ransomware RansomHub em ataques que atingiram o setor de saúde dos Estados Unidos, incluindo a Change Healthcare e a rede de farmácias Rite Aid.
Como o golpe é executado
Criminosos comprometem sites legítimos, em grande parte hospedados em WordPress, e injetam scripts maliciosos que exibem atualizações falsas do Chrome. Também recorrem ao Domain Shadowing, criando subdomínios maliciosos ligados a domínios reais para burlar verificações de segurança.
Após o comprometimento, sistemas de distribuição de tráfego como Keitaro e Parrot TDS avaliam o visitante — localização, sistema operacional e configurações do navegador — e entregam o payload apenas ao “alvo ideal”.
Malware como serviço
O SocGholish opera no modelo malware-as-a-service (MaaS). O TA 569 oferece acesso à infraestrutura de sites infectados para qualquer interessado disposto a pagar, prática que levou pesquisadores a compará-la a uma “Netflix do crime digital”.
Entre os clientes estão o grupo russo Evil Corp e atores com ligações à GRU, unidade de inteligência militar 29155. Os locatários distribuem diferentes ameaças, de ransomware das famílias LockBit e RansomHub a trojans como AsyncRAT e o worm Raspberry Robin.
Imagem: Internet
Casos recentes
Em 2025, anúncios do Google que imitavam o portal de RH da Kaiser Permanente redirecionaram usuários para o download do SocGholish, desencadeando novas infecções. O mesmo método foi empregado nos ataques contra a Change Healthcare e a Rite Aid.
Dicas de prevenção
- Não aceite atualizações via pop-ups: Chrome, Firefox, Safari e Edge atualizam em segundo plano ou dentro das próprias configurações.
- Verifique manualmente: abra o menu do navegador e procure por atualizações oficiais.
- Mantenha o WordPress e plugins atualizados para reduzir brechas exploradas pelo SocGholish.
- Use senhas fortes e autenticação de dois fatores em contas administrativas.
- Desconfie de mensagens que criem senso de urgência ou exijam versões específicas de navegador.
Especialistas alertam que a combinação de infraestrutura alugada e segmentação avançada torna o SocGholish uma ameaça em escala global, capaz de transformar milhares de sites confiáveis em vetores de infecção simultânea.
Com informações de TecMundo