تصور کنید با مرورگر خود مشغول کار هستید و ناگهان پیامی ظاهر می‌شود: «مرورگر شما نیاز به به‌روزرسانی فوری دارد». بدون شک، اکثر ما روی Updateکلیک می‌کنیم، چون به‌روزرسانی‌ها برایمان عادی و بی‌خطر به نظر می‌رسند. اما همین یک کلیک ساده می‌تواند مسیر ورود یک بدافزار پیشرفته را به سیستم شما باز کند.

در نوامبر ۲۰۲۵، گروه جاسوسی/جرایمی RomCom  با استفاده از همین ترفند قدیمی اما مؤثر که به آن SocGholish  (یا FakeUpdates) می‌گویند، بدافزار Mythic Agent  را در سازمان‌های هدف مستقر کرد.

یک کلیک ساده و باز شدن دری به دنیای بدافزار

همان کلیک روی «Update» مرورگر، در واقع دروازه‌ای است برای SocGholish.  یک اسکریپت مخرب که روی سایت‌های آلوده جا خوش می‌کند. این سایت‌ها اغلب وب‌سایت‌های معمولی و شناخته‌شده‌ای هستند که افزونه‌ها یا تم‌های قدیمی دارند. مهاجمان کافی است اسکریپت SocGholish را روی این سایت‌ها تزریق کنند. سپس هر کاربری که سر می‌زند، پیام جعلی به‌روزرسانی را می‌بیند.

وقتی کاربر فایل را دانلود و اجرا می‌کند، loader  اصلی روی سیستم نصب می‌شود و آماده دریافت payloadهای ثانویه مثل Mythic Agent می‌گردد. یعنی با یک تجربه عادی و به‌ظاهر بی‌خطر، حمله‌ای پیشرفته آغاز می‌شود.

معماری حمله: تکنیک‌های فرار، C2 و Loader مورداستفاده RomCom

در بررسی فنی این حمله مشخص شد که SocGholish از طریق اسکریپت‌های جاوااسکریپت تزریق‌شده در وب‌سایت‌های آلوده، یک chain اجرایی چندمرحله‌ای ایجاد می‌کند. در مرحله اول، اسکریپت با fingerprinting  مرورگر و سیستم‌عامل تعیین می‌کند که آیا قربانی مناسب است یا خیر. در مرحله دوم، فایل به‌روزرسانی جعلی که معمولاً یک Executable  با امضای جعلی یا امضای معتبر سرقت‌شده است، به کاربر ارائه می‌شود. پس از اجرا، loader  با روش‌هایی مثل Process Hollowing و DLL Side -Loading‌  خود را در پروسس‌های ویندوز تزریق می‌کند تا شناسایی نشود. در مورد حمله نسبت‌داده‌شده به RomCom، loader در ادامه یک Mythic Agent C2 Implant دریافت کرده که با استفاده از TLS Encrypted Channels  با سرور فرماندهی ارتباط برقرار می‌کند و از تکنیک‌های Command Obfuscation، منطق Modular و زمان‌بندی تصادفی Beaconing برای فرار از مانیتورینگ استفاده می‌کند. این ساختار ماژولار به مهاجم اجازه می‌دهد پس از استقرار اولیه، هر Payload دلخواهی شامل Stealer، Recon ابزارها یا Backdoorهای اضافی را بدون نیاز به تعامل مستقیم قربانی روی سیستم لود کند.

RomCom : بازیگری که ترکیب مهارت و شانس را بلد است

گروه RomCom پیشینه‌ای طولانی در حملات سایبری دارد. از spear-phishing و بهره‌برداری از آسیب‌پذیری‌های Zero-Day گرفته تا انتشار RAT و backdoor . اما نکته نگران‌کننده این است که حالا، همان سازوکارهای شناخته‌شده مثل SocGholish را با انگیزه جاسوسی ترکیب کرده‌اند.

در حمله اخیر، هدف یک شرکت مهندسی آمریکایی بوده که با پروژه‌های مرتبط با اوکراین در ارتباط بوده است. این یعنی حمله صرفاً مالی نبوده، بلکه اهداف سیاسی و جاسوسی هم داشته است.

چرا این تهدید از سایر تهدیدات متفاوت است؟

1. سرعت بالای نفوذ: زمان بین کلیک کاربر و بارگذاری loader کمتر از ۳۰ دقیقه بوده است.
2. پوشش مهندسی اجتماعی: کاربران به هشدارهای به‌روزرسانی مرورگر اعتماد دارند، پس احتمال کلیک زیاد است.
3. انعطاف payloadها: پس از loader، مهاجمان می‌توانند انواع ابزارهای جاسوسی، stealers  یا حتی ransomware را اجرا کنند.
4. نفوذ از طریق وب‌سایت‌های معمولی: نیازی به ایمیل فیشینگ یا فایل‌های عجیب و غریب نیست. فقط یک سایت آسیب‌پذیر کافی است.

روش‌های مؤثر برای پیشگیری از حملات SocGholish

برای کاهش خطر آلوده شدن به SocGholish، رعایت چند قاعده ساده اما حیاتی می‌تواند تفاوت بزرگی ایجاد کند.

• هرگز به هشدار «به‌روزرسانی فوری مرورگر / نرم‌افزار» اعتماد نکنید مگر از منبع رسمی :

 اگر پیامی برای به روزرسانی ظاهر شد، به جای کلیک روی آن، مرورگر یا نرم‌افزار را خودتان باز کرده و از طریق مکانیزم داخلی خودِ برنامه (یا وب‌سایت رسمی) چک کنید که آیا به‌روزرسانی واقعاً منتشر شده است.

• همیشه سیستم‌عامل، مرورگر، افزونه‌ها و دیگر نرم‌افزارها را به‌روز نگه دارید

بسیاری از حملات از طریق آسیب‌پذیری‌های شناخته‌شده در افزونه‌ها یا مرورگرها رخ می‌دهند، بروزرسانی منظم، احتمال سوءاستفاده از این ضعف‌ها را به‌شدت کاهش می‌دهد.

• کنترل سخت‌افزاری/نرم‌افزاری (EDR / Application Control) و محدودسازی اجرای اسکریپت‌ها

در محیط‌های سازمانی به‌خصوص، استفاده از راه‌حل‌های EDR یا تنظیمات کاهش سطح حمله (Attack Surface Reduction) برای جلوگیری از اجرای جاوااسکریپت/VBScript آلوده یا لود خودکار فایل‌های مشکوک موثر است.

• احراز هویت قوی و تمهیدات امنیتی در وب‌سایت‌ها (برای مدیران سایت)

اگر سایتتان (مثلاً با WordPress) است:  URL پیش‌فرض ورود را تغییر دهید، Login attempts (ورود) را محدود کنید، نام کاربری مدیر (admin) سفارشی انتخاب کنید و روش احراز دومرحله‌ای (2FA) را فعال نمایید. این کارها امکان نفوذ مهاجمان به‌سادگی از طریق brute-force یا credential stuffing را کاهش می‌دهند.

• نظارت مداوم و اسکن امنیتی وردپرس / وب‌سایت‌ها

استفاده از افزونه‌های امنیتی (مثل Wordfence یا افزونه‌های مشابه)، اجرا کردن اسکن‌های منظم، و بررسی لاگ‌ها برای تشخیص اسکریپت مخرب یا تلاش‌های غیرعادی، می‌تواند حملات را پیش از اجرای payload  شناسایی کند.

• آموزش کاربران و آگاهی در برابر مهندسی اجتماعی

به کاربران (کارمندان یا همکاران) آموزش دهید که هشدارهای به‌روزرسانی ناگهانی از وب‌سایت‌‌های معمولی را بدون تأیید منبع قبول نکنند. این هشدارها غالباً فریب هستند.

نتیجه‌گیری

حمله اخیر نشان می‌دهد روش‌های قدیمی مثل SocGholish نیز وقتی در دست یک گروه با تجربه مثل RomCom  قرار بگیرد، می‌تواند بسیار خطرناک باشد. این تهدید ترکیبی از فریب مهندسی اجتماعی و فناوری پیشرفته است که هر سازمانی باید آن را جدی بگیرد.