Autoridades de quatro países anunciaram em 18 de junho de 2026, no âmbito da Operação Endgame, a remoção do malware SocGholish de 14.971 sites WordPress comprometidos e a tomada de 106 servidores e domínios ligados ao grupo criminoso russo Evil Corp. A ação conjunta, coordenada por Europol e Eurojust, envolveu polícias dos Países Baixos, Canadá, Estados Unidos e Alemanha para desarticular uma das principais cadeias de infecção por malware do mundo.

O que é o SocGholish

SocGholish, também rastreado como FakeUpdates ou GhoLoader, é um downloader baseado em JavaScript ativo desde 2017 e operado pelo cluster de ameaças TA569, associado à Evil Corp. A tática central é comprometer sites WordPress legítimos e injetar scripts altamente ofuscados que fingem oferecer atualizações de navegador — quando a vítima baixa e executa o arquivo, abre-se conexão com a infraestrutura atacante, geralmente para entrega de infostealers e ferramentas de acesso remoto.

Pesquisadores da Proofpoint detalharam que o script faz perfilagem ativa do visitante: checa se é desenvolvedor, se o DevTools está aberto e se já viu a isca antes, e ainda espera movimentação natural do mouse antes de agir — tudo para evadir detecção automatizada.

Cronologia da ação

  1. Desde 2017 — SocGholish atua como vetor inicial de ataques a empresas globais.
  2. Novembro de 2025 — Primeira fase da Operação Endgame derruba mais de 1.000 servidores Rhadamanthys, VenomRAT e Elysium.
  3. 18 de junho de 2026 — Ação conjunta limpa 14.971 sites WordPress e toma 106 servidores e domínios do TA569/Evil Corp.
  4. 19 de junho de 2026 — Equipe do CIT-Vancouver refina técnica de desinfecção em massa de 2.488 computadores e previne reinfecção.
  5. Pós-operação — Have I Been Pwned adiciona 154 mil endereços de e-mail e mais de 500 mil senhas comprometidas pelo SocGholish.

Conexão com a Evil Corp

A Evil Corp é uma gangue russa ativa desde 2007, ligada historicamente aos malwares Zeus e Dridex e às operações de ransomware WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker. O SocGholish funcionava como porta de entrada recorrente para essa cadeia, entregando Dridex, Doppelpaymer, Empire, Koadic, Chthonic e Azorult.

O análise da Infoblox aponta que quase 55% das redes de clientes monitoradas tentaram alcançar infraestrutura do SocGholish em um período de cinco meses, demonstrando a escala da operação. A queda de uma infraestrutura tão central alivia a pressão sobre ambientes corporativos, embora especialistas alertem que o efeito pode ser temporário enquanto os atacantes reconstruírem rotas alternativas — padrão observado em outros clusters de ransomware.

O que fazer agora

  • Donos de WordPress: atualizem CMS e plugins, ativem autenticação multifator no admin, excluam contas desconhecidas e alterem todas as credenciais.
  • Equipes de segurança: monitorem domínios SocGholish em listas de IOC e bloqueiem tráfego de saída para servidores conhecidos da campanha.
  • Usuários finais: nunca baixuem “atualizações de navegador” solicitadas por pop-ups em sites; atualizem apenas pelas configurações nativas do navegador.
  • Verificação de vazamento: consultem o Have I Been Pwned para descobrir se credenciais foram expostas nesta operação.
  • Resposta a incidentes: investiguem acessos suspeitos a endpoints após notificação de contato com infraestrutura SocGholish.

Fontes