"SocGolish" comunemente chiamato "FakeUpdates" è ancora il malware più diffuso al mondo mantenendo il primo posto per tutto il 2024.
SocGholish è un malware di tipo "downloader", ed è stato visto per la prima volta nell'Aprile del 2018.
Questo malware è legato alla cybergang russa Evil Corp. Si crede che il gruppo monetizzi il virus vendendo l'accesso ai PC che ne sono affetti.
Infatti dopo che una macchina è stata infettata con SocGolish può presentare altri malware nel sistema.
A rendere efficacie FakeUpdates è l’offerta di nuova backdoor chiamata BadSpace e una rete di affiliazione di terze parti che reindirizza il traffico dai siti web compromessi alle pagine controllate da FakeUpdates, che invitano gli utenti a scaricare quello che sembra essere un aggiornamento del browser.
In realtà si tratta di un loader basato su JavaScript che a sua volta scarica ed esegue la backdoor BadSpace;
la quale impiega sofisticate tecniche di offuscamento e anti-sandbox per evitare di essere rilevato e mantiene la persistenza attraverso attività pianificate. Le sue comunicazioni di comando e controllo sono criptate, rendendo difficile l'intercettazione.