Logo TecMundo
Segurança

Criminosos usam update falso para infectar PCs; 'Netflix do Crime' promove ação

Campanha atua como uma espécie de 'Netflix do cibercrime': além de infectar vítimas, grupo hacker disponibiliza catálogo de sites infectados para outros criminosos

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule22/10/2025, às 20:00

updateAtualizado em 30/10/2025, às 12:49

Uma nova campanha de ciberataques identificada como SocGholish usa atualizações falsas de software para enganar usuários e roubar informações sensíveis de empresas

A campanha, também conhecida como FakeUpdates, se aproveita de uma plataforma de malware-as-a-service (MaaS). Nesse modelo clandestino de negócios, criminosos alugam infraestrutura maliciosa para outros atacantes, que buscam espalhar arquivos maliciosos por meio de sites legítimos comprometidos.

smart_display

Nossos vídeos em destaque

Descoberto pela LevelBlue, o SocGholish está ativo desde 2017 sob gerenciamento do grupo TA 569. No início de 2025, a plataforma foi usada para distribuir o ransomware RansomHub, que resultou em ataques devastadores ao setor de saúde nos Estados Unidos, incluindo a Change Healthcare e a rede de farmácias Rite Aid. 

O modo de ataque é simples: os criminosos usam sites legítimos, onde injetam scripts maliciosos, para enganar os usuários de navegador web a baixarem atualizações de software que parecem reais.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Como funciona o golpe SocGholish?

Os sites comprometidos são geralmente endereços vulneráveis com WordPress – muitas vezes com contas de administrador comprometidas. Além disso, pode ser usada outra técnica, conhecida como Domain Shadowing, que consiste em criar subdomínios maliciosos em sites legítimos para enganar verificações de segurança.

A sofisticação vai além da isca inicial. Uma vez que conseguem comprometer um site, os operadores usam sistemas de distribuição de tráfego (TDS) como Keitaro e Parrot TDS.  

Essas ferramentas funcionam como filtros inteligentes, analisando cada visitante do site: sua localização geográfica, sistema operacional, configurações do navegador. Só quem se encaixa no perfil da vítima ideal recebe o payload malicioso. É uma segmentação de público digna de uma campanha de marketing, só que para espalhar malware.

Após a reportagem, a Keitaro reconheceu as avarias em seu sistemas que permitiam que o software fosse usado para fins maliciosos e adicionou novas medidas de segurança que impossibilitam o mau uso da plataforma.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

SocGholish virou “Netflix do crime digital”

O problema é que o SocGholish não é uma ferramenta exclusiva do TA 569. Na verdade, ele virou o principal produto do grupo. Eles montaram uma operação comercial completa, oferecendo acesso a essa infraestrutura de sites comprometidos para qualquer criminoso disposto a pagar. 

É literalmente um malware como serviço: você paga, recebe as credenciais e pode usar toda aquela rede de sites infectados para distribuir o que quiser, como ransomware, trojans e ladrões de senha. É como uma ‘Netflix do crime digital’.

socgolish-google-alerta.png
Sites usados pelos criminosos parecem tão legítimos que são referenciados até mesmo no Google Alerta. Imagem: ProofPoint.

E os "assinantes" desse serviço não são amadores. Um dos clientes mais conhecidos é o Evil Corp, uma organização russa de cibercrime com ligações diretas aos serviços de inteligência do país. Pesquisadores também identificaram conexões com a GRU, uma agência de inteligência militar russa – especificamente com a Unidade 29155, conhecida por operações de sabotagem e espionagem.

Depois da infecção, o cardápio de ameaças é variado. Dependendo de quem alugou o acesso, a vítima pode receber desde ransomware das famílias LockBit e RansomHub até trojans de acesso remoto como o AsyncRAT, passando por diversos programas de roubo de credenciais e dados. Um dos payloads identificados foi o worm Raspberry Robin, conhecido por se espalhar via dispositivos USB.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

As consequências já estão aparecendo. No início de 2025, a plataforma SocGholish foi usada para distribuir o ransomware RansomHub, que resultou em ataques devastadores ao setor de saúde nos Estados Unidos. 

Em um dos casos, criminosos criaram anúncios maliciosos do Google se passando pelo portal de RH da Kaiser Permanente. Quem clicava achando que estava acessando o site do plano de saúde acabava infectado. Esse mesmo esquema levou a ataques contra a Change Healthcare e a rede de farmácias Rite Aid.

Como se proteger de atualizações falsas

socgolish-atualização-chrome.png
Sugestão de atualização vem de site aleatório, mas usa todas as ferramentas para parecer legítimo. Imagem: ProofPoint.

O que torna o SocGholish particularmente perigoso é justamente essa capacidade de adaptação e escala. Não é um ataque isolado de um grupo específico com objetivos bem definidos.É uma infraestrutura criminosa que qualquer um pode alugar, transformando milhares de sites confiáveis em vetores de infecção simultâneos. 

Para se proteger, siga estas orientações:

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce
  • Nunca baixe atualizações através de pop-ups: navegadores legítimos como Chrome, Firefox, Safari e Edge atualizam automaticamente em segundo plano ou exibem notificações apenas dentro das próprias configurações do programa. Se aparecer uma mensagem pedindo para baixar uma atualização enquanto você navega, feche a janela imediatamente.
  • Verifique atualizações manualmente: se você receber uma notificação de atualização suspeita, vá direto nas configurações do seu navegador e verifique por atualizações oficiais. Esse caminho é sempre seguro.
  • Mantenha WordPress atualizado: se você administra um site, mantenha o WordPress e todos os plugins sempre atualizados. A maioria das infecções do SocGholish acontece através de versões desatualizadas com vulnerabilidades conhecidas.
  • Use autenticação forte: implemente senhas fortes para contas de administrador e ative autenticação de dois fatores em todos os sites que você gerencia. Isso dificulta o comprometimento inicial.
  • Desconfie de urgência artificial: sites legítimos raramente exigem versões específicas de navegador para funcionar. A urgência artificial é uma tática clássica de engenharia social para fazer você agir sem pensar.

Quer saber mais sobre golpes digitais? Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e em nossa newsletter para receber mais notícias de tecnologia e segurança.

Perguntas Frequentes

O que é a campanha SocGholish e como ela funciona?
SocGholish, também conhecida como FakeUpdates, é uma campanha de ciberataques que utiliza atualizações falsas de software para enganar usuários e instalar malware. Os criminosos comprometem sites legítimos, geralmente com WordPress desatualizado, e injetam scripts maliciosos que simulam atualizações de navegadores. Quando o usuário clica, o computador é infectado com diferentes tipos de malware.
Por que o SocGholish é chamado de "Netflix do crime digital"?
O termo "Netflix do crime digital" refere-se ao modelo de negócio do SocGholish, que funciona como uma plataforma de malware como serviço (MaaS). Criminosos podem pagar para acessar a infraestrutura de sites comprometidos e distribuir seus próprios malwares, como ransomware, trojans e ladrões de senha. Assim como um serviço de streaming, o acesso é alugado e compartilhado entre diversos usuários mal-intencionados.
Como os criminosos escolhem quem será infectado?
Após comprometer um site, os operadores do SocGholish utilizam sistemas de distribuição de tráfego (TDS), como Keitaro e Parrot TDS, que analisam características do visitante — como localização, sistema operacional e navegador — para decidir se ele se encaixa no perfil ideal da vítima. Apenas os alvos considerados relevantes recebem o malware, o que aumenta a eficácia do ataque.
Quais tipos de malware são distribuídos pelo SocGholish?
O SocGholish pode distribuir uma variedade de ameaças, dependendo do criminoso que alugou o serviço. Entre os malwares identificados estão os ransomwares LockBit e RansomHub, trojans de acesso remoto como o AsyncRAT, ladrões de credenciais e o worm Raspberry Robin, que se propaga por dispositivos USB.
Quais foram os impactos reais dessa campanha?
No início de 2025, o SocGholish foi usado para distribuir o ransomware RansomHub, causando ataques devastadores ao setor de saúde dos Estados Unidos. Entre as vítimas estão a Change Healthcare e a rede de farmácias Rite Aid. Em um caso, criminosos criaram anúncios falsos no Google se passando pelo portal de RH da Kaiser Permanente, levando usuários a sites infectados.
O que é Domain Shadowing e como ele é usado nesses ataques?
Domain Shadowing é uma técnica em que criminosos criam subdomínios maliciosos dentro de domínios legítimos comprometidos. Isso permite que os ataques passem despercebidos por verificações de segurança, já que os domínios principais parecem confiáveis. Essa técnica é usada pelo SocGholish para enganar usuários e sistemas de proteção.
Como posso me proteger contra atualizações falsas de navegador?
Evite baixar atualizações por pop-ups ou sites aleatórios. Navegadores legítimos atualizam automaticamente ou notificam apenas dentro das configurações do próprio programa. Sempre verifique manualmente por atualizações nas configurações do navegador. Além disso, desconfie de mensagens com senso de urgência e mantenha seu sistema e plugins atualizados.
Quais medidas os administradores de sites devem tomar para evitar infecções?
Administradores devem manter o WordPress e todos os plugins atualizados, usar senhas fortes e ativar a autenticação de dois fatores. A maioria das infecções ocorre por vulnerabilidades em versões desatualizadas ou por contas de administrador comprometidas. Essas medidas dificultam o acesso inicial dos criminosos à infraestrutura do site.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 3 dias
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA