Aanvallers zijn erin geslaagd om op meer dan 250 Amerikaanse krantensites malafide JavaScript te injecteren die bezoekers met malware probeert te infecteren. Het aantal getroffen nieuwssites kan echter veel hoger liggen, zo stelt securitybedrijf Proofpoint dat de aanval ontdekte. De krantensites, zowel regionaal als nationaal, maken gebruik van de diensten van een niet nader genoemd mediabedrijf. Dit bedrijf biedt zowel videocontent als advertenties.

Hiervoor plaatsen de betreffende krantensites JavaScript van het mediabedrijf op hun eigen websites. Het is de aanvallers gelukt om het mediabedrijf te compromitteren en de JavaScript-code aan te passen. De aangepaste code laat bezoekers van de krantensites een melding zien dat ze hun browser moeten updaten en biedt vervolgens een zogenaamde update aan. In werkelijkheid gaat het om de SocGholish-malware, waarmee de aanvallers volledige controle over het systeem krijgen.

Vervolgens kan de malware andere malware installeren, of maken andere cybercriminelen gebruik van de toegang om bijvoorbeeld ransomware binnen de aangevallen organisatie te verspreiden. Namen van het mediabedrijf en getroffen krantensites zijn niet bekendgemaakt. Ook is onbekend hoe het bedrijf werd gecompromitteerd. De criminelen achter de SocGholish-malware zijn al sinds 2017 actief. In augustus meldde securitybedrijf Sucuri dat het de JavaScript-code van SocGholish dit jaar al op meer dan 25.000 websites had aangetroffen.