Uma nova onda de infecções pelo malware SocGholish, também conhecido como “atualizações falsas de navegador”, está sendo observada em sites hackeados, marcando presença constante como uma das infecções de malware mais comuns.

Esta campanha de malware de longa data utiliza um framework de malware JavaScript em uso desde pelo menos 2017, tentando enganar usuários para baixar o que na verdade é um Trojan de Acesso Remoto (RAT) em seus computadores, muitas vezes sendo o primeiro estágio de uma infecção por ransomware.

Os sites infectados foram comprometidos através de contas de administrador wp-admin hackeadas. Este é apenas um dos inúmeros exemplos de por que garantir a segurança do seu painel administrativo é de extrema importância, independentemente de você usar o WordPress ou outro CMS.

A variante específica do SocGholish foi identificada pela primeira vez em outubro de 2023, originalmente encontrada injetada usando tags na tabela wp_postmeta do banco de dados de sites WordPress comprometidos.

No último trimestre de 2023, essa variante do SocGholish foi detectada mais de 1.400 pelos pesquisadores. Uma vez ativado o plugin, o site começa a servir payloads do SocGholish.