Auf den Punkt: Die Operation Endgame hat 14.971 kompromittierte WordPress-Websites vom SocGholish-Malware-Netzwerk bereinigt, das der russischen Cybercrime-Gruppe Evil Corp zugerechnet wird.
Ein internationales Behördenbündnis hat im Rahmen der Operation Endgame knapp 15.000 WordPress-Websites vom SocGholish-Schadcode befreit und 106 Server sowie Domains abgeschaltet, die zur Kontrolle des Botnetzes dienten. Die Aktion richtet sich gegen ein seit 2017 aktives Netzwerk, das als Einstiegspunkt für weitergehende Cyberangriffe fungiert.
Ermittler aus den Niederlanden, Kanada, den Vereinigten Staaten und Deutschland, unterstützt durch Europol und Eurojust, haben das Infrastruktur-Netzwerk von SocGholish angegriffen. Insgesamt wurden 14.971 kompromittierte Webseiten, überwiegend WordPress-Installationen, von Schadcode und Hintertüren befreit. Parallel dazu schalteten die Behörden 106 Server und Domains ab, die zur Steuerung des Botnetzes und zur Verteilung der Schadsoftware genutzt wurden.
SocGholish, auch unter den Namen FakeUpdates oder GhoLoader bekannt, ist seit 2017 in Cyberangriffen aktiv. Die Funktionsweise beruht auf manipulierten Pop-up-Meldungen auf kompromittierten Websites. Besucher werden zur Ausführung eines vermeintlichen Browser-Updates verleitet, das tatsächlich Malware ist. Nach der Ausführung etabliert das Programm eine Verbindung zu den Servern der Angreifer und ermöglicht ihnen somit unbefugten Zugriff auf das System.
Das SocGholish-Netzwerk fungiert als Initial Access Broker – es beschafft und vermarktet erstmalige Systemzugriffe, die dann an andere Kriminelle weitergegeben oder verkauft werden. Die Infrastruktur wird der russischen Cybercrime-Vereinigung Evil Corp zugeordnet, die seit 2007 aktiv ist. Über die Infektionsketten von SocGholish wurden in der Vergangenheit Malware-Familien wie Dridex und Doppelpaymer sowie Ransomware-Varianten wie WastedLocker, Hades und Phoenix CryptoLocker auf Systemen platziert.
Die niederländische Polizei empfahl den Betreibern der bereinigten Websites konkrete Sicherheitsmaßnahmen: Sofortiger Wechsel aller Zugangsdaten, Aktivierung der Mehrfaktor-Authentifizierung, Löschung unbekannter Benutzerkonten im Content-Management-System und vollständiges Einspielen aller verfügbaren Software-Updates.
Quelle: www.it-daily.net · Erschienen 21. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.