O nouă campanie ‘FakeUpdate’ care vizează utilizatorii din Franța folosește site-uri compromise pentru a afișa actualizări false de browser și aplicații care răspândesc o nouă versiune a backdoor-ului WarmCookie.
FakeUpdate este o strategie de cyberatac folosită de un grup de amenințări cunoscut sub numele de ‘SocGolish’ care compromite sau creează site-uri false pentru a afișa vizitatorilor prompturi false de actualizare pentru o varietate de aplicații, cum ar fi browsere web, Java, VMware Workstation, WebEx și Proton VPN.
Când utilizatorii dau clic pe prompturile de actualizare concepute să pară legitime, este descărcată o actualizare falsă care instalează o încărcătură malițioasă, cum ar fi furtul de informații, drainere de criptomonede, RAT-uri și chiar ransomware.
Campania cea mai recentă a fost descoperită de cercetătorii de la Gen Threat Labs, care au observat backdoor-ul WarmCookie distribuit ca actualizări false pentru Google Chrome, Mozilla Firefox, Microsoft Edge și Java.
WarmCookie, descoperit pentru prima dată de eSentire la mijlocul anului 2023, este un backdoor pentru Windows văzut recent distribuit în campanii de phishing care folosesc oferte de locuri de muncă false ca momeală.
Capacitățile sale extinse includ furt de date și fișiere, profilare de dispozitive, enumerare de programe (prin intermediul Registrului Windows), execuție arbitrară de comenzi (prin intermediul CMD), capturare de ecran și capacitatea de a introduce încărcături suplimentare în sistemul infectat.
În campania cea mai recentă observată de Gen Threat Labs, backdoor-ul WarmCookie a fost actualizat cu noi funcționalități, inclusiv rularea de DLL-uri din folderul temporar și trimiterea înapoi a rezultatului, precum și capacitatea de a transfera și executa fișiere EXE și PowerShell.
Momeala folosită pentru a declanșa infecția este o actualizare falsă de browser, ceea ce este obișnuit în atacurile FakeUpdate. Cu toate acestea, Gen Digital a descoperit și un site unde a fost promovată o actualizare falsă pentru Java în această campanie.
Lanțul de infecție începe cu utilizatorul dând clic pe o notificare falsă de actualizare a browserului, care declanșează JavaScript care descarcă instalatorul WarmCookie și îi cere utilizatorului să salveze fișierul.
Când actualizarea software falsă este executată, malware-ul efectuează unele verificări anti-VM pentru a se asigura că nu rulează într-un mediu de analiză și trimite amprenta sistemului nou infectat către serverul de comandă și control (C2), așteptând instrucțiuni.
Chiar dacă Gen Threat Labs spune că atacatorii folosesc site-uri compromise în această campanie, unele dintre domeniile partajate în secțiunea IoC, cum ar fi „edgeupdate[.]com” și „mozilaupgrade[.]com”, par să fie selectate în mod specific pentru a se potrivi temei ‘FakeUpdate’.
Țineți minte că Chrome, Brave, Edge, Firefox și toate browserele moderne sunt actualizate automat atunci când devin disponibile noi actualizări.
Poate fi necesară repornirea programului pentru ca o actualizare să fie aplicată browserului, dar descărcarea și executarea manuală a pachetelor de actualizare nu fac niciodată parte dintr-un proces real de actualizare și ar trebui considerate un semn de pericol.
În multe cazuri, FakeUpdates compromit site-uri legitime și de încredere, așa că aceste pop-up-uri ar trebui tratate cu prudență chiar și atunci când sunteți pe o platformă familiară.
Arc browser lansează programul de recompense pentru bug-uri după remedierea bug-ului RCE
O nouă variantă a malware-ului RomCom numită ‘SnipBot’ a fost observată în atacuri de furt de date
Malware-ul Infostealer ocolește noile apărări împotriva furtului de cookie-uri din Chrome
Hackerii folosesc malware-ul scris de AI în atacuri direcționate
O nouă versiune a malware-ului Octo pentru Android se dă drept NordVPN, Google Chrome
Leave a Reply