Hamis böngésző frissítés ígéretével terjesztenek WarmCookie malwaret

kami911 képe

Egy új, „FakeUpdate” csalási kampány francia felhasználókat céloz meg, és kompromittált weboldalakat felhasználva hamis böngésző és alkalmazás-frissítéseket jelenít meg számukra, amelyek valójában a WarmCookie backdoor új verzióját terjesztik. A FakeUpdate egy olyan támadási stratégia, amit a SocGolish nevű fenyegetési csoport előszeretettel alkalmaz. Hamis weboldalakat hoznak létre, amelyek a felhasználók számára frissítési értesítéseket jelenítenek meg különböző népszerű alkalmazásokhoz, például böngészőkhöz, a Java-hoz, Proton VPN-hez, VMware Workstation-höz stb. Amikor a felhasználók rákattintanak a valódinak tűnő frissítési értesítésekre, egy hamis frissítés töltődik le, amely rosszindulatú payloadot juttat a rendszerre, például info-stealert, kriptovaluta drainert, RAT-eket, sőt, akár zsarolóvírust is.

Ezt, a legújabb kampányt a Gen Threat Labs kutatói fedezték fel, akik arra lettek figyelmesek, hogy a WarmCookie backdoor-t hamis Google Chrome, Mozilla Firefox, Microsoft Edge és Java frissítések formájában terjeszti a csoport. A malwaret 2023-ban az eSentire fedezte fel, és windows backdoorként került azonosításra.

A vírus igazán sokszínű képességei közé tartozik az adat- és fájllopás, az eszközprofilozás, a programok enumerálása (Windows Registry segítségével), tetszőleges parancsvégrehajtás (CMD-n keresztül), képernyőképek készítése, valamint további payloadok telepítése a fertőzött rendszerre.

A legújabb kampányban, amelyet a Gen Threat Labs figyelt meg, a WarmCookie backdoor ezeken felül új funkciókkal is bővült, immáron DLL-ek futtatására is képes a temp mappából, ezek kimenetét képessé vált visszaküldeni, valamint EXE és PowerShell fájlok letöltésének és futtatásának képességét is megszerezte, így igen veszélyes vírussá vált.

A támadási lánc a felhasználó hibájával, a hamis hirdetésre való kattintással kezdődik, ezért fontos tisztában lennünk azzal, hogy a Chrome, a Brave, az Edge, a Firefox és a legtöbb egyéb modern böngésző automatikusan frissül, amikor új frissítések érhetők el hozzájuk. Az elképzelhető, hogy a program újraindítására van szükség egy frissítés aktiválásához, de az nem, hogy a frissítést saját kezűleg kelljen elvégezni.

(forrás, forrás)