Uma operação internacional de cibersegurança, conhecida como Endgame, resultou na limpeza de quase 15.000 sites WordPress infectados pelo malware SocGholish e no desmantelamento de mais de cem servidores associados ao botnet SocGholish e ao grupo Evil Corp.
MundiX News·24 de junho de 2026·4 min de leitura·👁 1 views
Em uma ação coordenada de grande escala, as autoridades policiais de diversos países, incluindo Países Baixos, Canadá, Estados Unidos e Alemanha, com o apoio da Europol e do Eurojust, concluíram a operação Endgame. O foco desta vez foi o SocGholish (também conhecido como FakeUpdates e GhoLoader), um trojan de acesso remoto (RAT) e downloader de malware que tem sido amplamente utilizado por anos para distribuir cargas maliciosas e facilitar ataques de ransomware. A operação resultou na limpeza de 14.971 sites WordPress comprometidos e no desligamento de 106 servidores e domínios que serviam como infraestrutura para os cibercriminosos.
Os especialistas holandeses desempenharam um papel crucial na limpeza dos sites, removendo o código malicioso e backdoors implantados pelos atacantes. Além disso, foram emitidas recomendações aos proprietários dos sites, incluindo a alteração de credenciais de acesso, a ativação da autenticação de múltiplos fatores (MFA), a exclusão de contas suspeitas e a garantia de que o sistema de gerenciamento de conteúdo (CMS) esteja atualizado para a versão mais recente. "Estamos privando os criminosos do acesso a sistemas infectados, o que impede danos adicionais a cidadãos, empresas e organizações em todo o mundo, além de limitar a propagação de malware", afirmou Maikel Rollman, representante da Unidade Nacional de Combate a Crimes de Alta Tecnologia dos Países Baixos. A eficácia dessas ações é fundamental para mitigar o impacto de ameaças persistentes como o SocGholish.
De acordo com pesquisas, o malware SocGholish está ativo desde pelo menos 2017. O modus operandi típico envolve a exploração de vulnerabilidades em sites, predominantemente aqueles que utilizam WordPress, para injetar um script JavaScript malicioso. Os visitantes desses sites são então apresentados com alertas falsos, induzindo-os a acreditar que precisam atualizar seus navegadores. Ao baixar e instalar o que pensam ser uma atualização legítima, as vítimas inadvertidamente instalam o malware em seus dispositivos, concedendo aos atacantes acesso remoto. Anteriormente, o SocGholish foi utilizado para distribuir famílias de malware notórias, como Dridex, DoppelPaymer, Empire, Koadic, Chtonic e Azorult. Há muito tempo, pesquisadores associam essa atividade ao grupo Evil Corp, uma organização cibercriminosa ativa desde 2007, conhecida pelo uso de malwares como Zeus e Dridex, e ligada a operações de ransomware como WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker. A operação Endgame é uma continuação de esforços anteriores, como a desativação de mais de 1000 servidores ligados a Rhadamanthys, VenomRAT e Elysium no ano passado, e outras infraestruturas de malware como SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee e SystemBC em anos anteriores, demonstrando um compromisso contínuo no combate à infraestrutura de cibercrime global.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em uma ação coordenada de grande escala, as autoridades policiais de diversos países, incluindo Países Baixos, Canadá, Estados Unidos e Alemanha, com o apoio da Europol e do Eurojust, concluíram a operação Endgame. O foco desta vez foi o SocGholish (também conhecido como FakeUpdates e GhoLoader), um trojan de acesso remoto (RAT) e downloader de malware que tem sido amplamente utilizado por anos para distribuir cargas maliciosas e facilitar ataques de ransomware. A operação resultou na limpeza de 14.971 sites WordPress comprometidos e no desligamento de 106 servidores e domínios que serviam como infraestrutura para os cibercriminosos.
Os especialistas holandeses desempenharam um papel crucial na limpeza dos sites, removendo o código malicioso e backdoors implantados pelos atacantes. Além disso, foram emitidas recomendações aos proprietários dos sites, incluindo a alteração de credenciais de acesso, a ativação da autenticação de múltiplos fatores (MFA), a exclusão de contas suspeitas e a garantia de que o sistema de gerenciamento de conteúdo (CMS) esteja atualizado para a versão mais recente. "Estamos privando os criminosos do acesso a sistemas infectados, o que impede danos adicionais a cidadãos, empresas e organizações em todo o mundo, além de limitar a propagação de malware", afirmou Maikel Rollman, representante da Unidade Nacional de Combate a Crimes de Alta Tecnologia dos Países Baixos. A eficácia dessas ações é fundamental para mitigar o impacto de ameaças persistentes como o SocGholish.
De acordo com pesquisas, o malware SocGholish está ativo desde pelo menos 2017. O modus operandi típico envolve a exploração de vulnerabilidades em sites, predominantemente aqueles que utilizam WordPress, para injetar um script JavaScript malicioso. Os visitantes desses sites são então apresentados com alertas falsos, induzindo-os a acreditar que precisam atualizar seus navegadores. Ao baixar e instalar o que pensam ser uma atualização legítima, as vítimas inadvertidamente instalam o malware em seus dispositivos, concedendo aos atacantes acesso remoto. Anteriormente, o SocGholish foi utilizado para distribuir famílias de malware notórias, como Dridex, DoppelPaymer, Empire, Koadic, Chtonic e Azorult. Há muito tempo, pesquisadores associam essa atividade ao grupo Evil Corp, uma organização cibercriminosa ativa desde 2007, conhecida pelo uso de malwares como Zeus e Dridex, e ligada a operações de ransomware como WastedLocker, Hades, Macaw Locker e Phoenix CryptoLocker. A operação Endgame é uma continuação de esforços anteriores, como a desativação de mais de 1000 servidores ligados a Rhadamanthys, VenomRAT e Elysium no ano passado, e outras infraestruturas de malware como SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee e SystemBC em anos anteriores, demonstrando um compromisso contínuo no combate à infraestrutura de cibercrime global.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
