Uma nova onda de ataques cibernéticos identificada como SocGholish, ou FakeUpdates, está se espalhando pela internet ao usar falsas atualizações de software para enganar usuários e comprometer redes corporativas. A campanha faz parte de um modelo de malware como serviço (MaaS), em que criminosos alugam infraestrutura maliciosa para realizar ataques em grande escala.
Segundo a empresa de segurança LevelBlue, o SocGholish está ativo desde 2017 e é operado pelo grupo TA569. Em 2025, a plataforma foi usada para distribuir o ransomware RansomHub, responsável por ataques devastadores contra o setor de saúde nos Estados Unidos, afetando empresas como Change Healthcare e Rite Aid.
Como funciona o golpe
O ataque se aproveita de sites legítimos comprometidos, geralmente construídos em WordPress com falhas de segurança ou contas de administrador invadidas. Nesses sites, os invasores injetam scripts que exibem pop-ups falsos de atualização de software, induzindo o usuário a baixar o malware.
Em muitos casos, os criminosos também usam a técnica de Domain Shadowing, criando subdomínios maliciosos em sites legítimos para burlar sistemas de detecção.
Depois que o site é comprometido, os operadores do SocGholish utilizam sistemas de distribuição de tráfego (TDS) como Keitaro e Parrot TDS. Essas ferramentas analisam informações do visitante — como localização, sistema operacional e tipo de navegador — e liberam o download malicioso apenas para os perfis ideais de vítimas, o que aumenta a taxa de sucesso dos ataques.
O “Netflix do cibercrime”
O SocGholish se transformou em uma espécie de “Netflix do crime digital”. O grupo TA569 oferece acesso pago à sua rede de sites infectados, permitindo que outros cibercriminosos usem a infraestrutura para distribuir qualquer tipo de malware — de ransomwares e trojans a ladrões de senhas.
Entre os grupos que já utilizaram o serviço está o Evil Corp, uma organização russa de cibercrime ligada à inteligência militar russa (GRU), incluindo a Unidade 29155, conhecida por operações de espionagem e sabotagem.
Os ataques resultantes variam conforme o cliente. Vítimas podem ser infectadas com ransomwares como LockBit e RansomHub, trojans de acesso remoto (como o AsyncRAT) ou até worms como o Raspberry Robin, que se espalham via dispositivos USB.
Casos recentes e impacto
No início de 2025, o SocGholish foi usado em campanhas que imitavam portais legítimos de grandes empresas. Em um dos casos, criminosos criaram anúncios falsos no Google se passando pelo site de RH da Kaiser Permanente. Usuários que clicavam no link acabavam baixando o ransomware RansomHub. O mesmo golpe foi usado para atingir a Change Healthcare e a Rite Aid, causando prejuízos milionários.
Como se proteger de atualizações falsas
A força do SocGholish está em sua sofisticação e escala — qualquer cibercriminoso pode alugar a infraestrutura e espalhar malware em sites confiáveis. Para se proteger, especialistas recomendam seguir práticas básicas de segurança:
- Nunca baixe atualizações por pop-ups. Navegadores e softwares legítimos atualizam automaticamente ou exibem avisos dentro do próprio programa.
- Verifique atualizações manualmente. Vá até as configurações do navegador ou aplicativo e confirme se há uma nova versão disponível.
- Mantenha o WordPress e plugins atualizados. A maioria das infecções vem de versões antigas e vulneráveis.
- Use autenticação de dois fatores. Proteja contas de administrador para evitar que criminosos invadam sites e injetem scripts.
- Desconfie de urgência ou mensagens alarmistas. Golpistas costumam criar sensação de pressa para fazer o usuário agir sem pensar.
O SocGholish mostra como o cibercrime vem se profissionalizando — com infraestrutura, segmentação e suporte técnico comparáveis aos de grandes empresas de tecnologia. E, justamente por isso, a atenção do usuário continua sendo uma das defesas mais importantes contra esse tipo de ameaça.
