Операция Endgame очистила почти 15 тысяч WordPress-сайтов от SocGholish

Международная операция правоохранительных органов нанесла новый удар по инфраструктуре SocGholish — JavaScript-загрузчика, который годами использовался для компрометации пользователей через взломанные сайты и фальшивые обновления браузера. Как сообщает BleepingComputer, в рамках Operation Endgame специалисты очистили 14 971 заражённый WordPress-сайт и отключили 106 серверов и доменов.

В операции участвовали подразделения из Нидерландов, Канады, США и Германии при поддержке Europol и Eurojust. Нидерландская National High Tech Crime Unit удаляла вредоносный код и бэкдоры с заражённых сайтов, а владельцам ресурсов рекомендовала сменить учётные данные, включить многофакторную аутентификацию, удалить неизвестные WordPress-аккаунты и поддерживать CMS в актуальном состоянии.

SocGholish, также известный как FakeUpdates и GhoLoader, применяется как начальная точка заражения как минимум с 2017 года. Типичный сценарий выглядит так: посетитель легитимного, но скомпрометированного сайта видит приманку в виде «обновления браузера», скачивает вредоносный файл и тем самым открывает атакующим доступ к своей системе. После этого загрузчик может привести к установке других семейств вредоносного ПО.

По данным издания, SocGholish ранее использовался для доставки Dridex, Doppelpaymer, Empire, Koadic, Chtonic и Azorult. Инфраструктуру связывают с Evil Corp — российской киберпреступной группой, известной по Zeus и Dridex, а также по вымогательским операциям WastedLocker, Hades, Macaw Locker и Phoenix CryptoLocker. Именно поэтому очистка WordPress-сайтов важна не только для владельцев этих ресурсов: заражённые сайты могли служить входом в более крупные атаки против компаний и критически важных процессов.

Представитель нидерландской полиции Майкел Роллман заявил, что такие действия лишают киберпреступников доступа к заражённым системам и снижают риск дальнейших атак. При этом он подчеркнул, что это только начало дальнейших действий против SocGholish. Для администраторов WordPress история остаётся практическим напоминанием: даже «обычный» корпоративный сайт может стать частью цепочки доставки malware, если не контролировать плагины, учётные записи и изменения файлов.

Источник: BleepingComputer, 18 июня 2026