Une vaste opération internationale, baptisée Endgame, a abouti au démantèlement de l’infrastructure de SocGholish, une chaîne d’infection vieille de près de dix ans qui exploitait des fausses notifications de mise à jour de navigateur pour distribuer des logiciels malveillants. Annoncée le 18 juin par les autorités des Pays-Bas, du Canada, des États-Unis et de l’Allemagne, avec le soutien d’Europol et d’Eurojust, l’action vise le groupe TA569, également connu sous les noms de FakeUpdates et GhoLoader.
Un procédé de contamination insidieux
SocGholish, apparu aux alentours de 2017, reposait sur une technique d’injection web. Les pirates s’introduisaient dans des sites légitimes, majoritairement sous WordPress, en y insérant quelques lignes de code JavaScript malveillant. Le site, en apparence normal, pouvait alors déclencher une fenêtre d’alerte imitant les notifications officielles des navigateurs Chrome ou Firefox, avec un message du type « votre navigateur doit être mis à jour ». En cliquant sur cette alerte, l’internaute téléchargeait sans le savoir le logiciel malveillant SocGholish, ouvrant la porte à des attaques plus graves, notamment des ransomwares. Les cibles étaient sélectionnées selon des critères précis comme la localisation géographique, le navigateur utilisé ou l’heure de connexion.
Des dégâts considérables
Au fil des années, cette méthode a été reprise par d’autres groupes criminels, tels que ClearFake, ZPHP et ErrTraffic, multipliant les vecteurs d’infection. Selon des analystes en cybersécurité, le réseau SocGholish aurait été actif pendant près d’une décennie avant d’être frappé par cette opération coordonnée. Les forces de l’ordre ont indiqué avoir nettoyé près de 15 000 sites WordPress compromis par cette chaîne d’infection. L’ampleur des dégâts reste difficile à évaluer précisément, mais le réseau est soupçonné d’avoir servi de porte d’entrée pour des attaques de ransomware visant des entreprises et des institutions dans plusieurs pays.
Une opération toujours en cours
L’opération Endgame, qui a déjà ciblé d’autres infrastructures cybercriminelles par le passé, marque une étape importante dans la lutte contre les chaînes d’infection de longue date. Les enquêteurs estiment que ce démantèlement affaiblit significativement le groupe TA569 et ses affiliés, même si la vigilance reste de mise. Les autorités n’ont pas communiqué de bilan précis des arrestations ou des saisies effectuées dans le cadre de cette action, mais elles soulignent la coopération internationale comme clé du succès.
Implications pour la cybersécurité
Cet événement rappelle la persistance des menaces exploitant des techniques d’ingénierie sociale, aussi vieilles qu’efficaces. Les experts recommandent aux utilisateurs de ne jamais cliquer sur des alertes de mise à jour apparaissant sur des sites web, et de privilégier les mises à jour depuis les paramètres officiels des navigateurs ou du système d’exploitation. Pour les administrateurs de sites, la sécurisation des installations WordPress, via des mises à jour régulières et l’utilisation d’extensions de sécurité, demeure une priorité. Le démantèlement de SocGholish, bien que salué, ne signifie pas la fin des campagnes de fausses mises à jour, les méthodes étant désormais largement copiées.
