Κακόβουλο λογισμικό WarmCookie: Ψεύτικα δεδομένα περιήγησης

Μια νέα καμπάνια «FakeUpdate» που στοχεύει χρήστες στη Γαλλία αξιοποιεί παραβιασμένους ιστότοπους για να εμφανίζει ψεύτικες ενημερώσεις προγράμματος περιήγησης και εφαρμογών που διαδίδουν μια νέα έκδοση του backdoor του WarmCookie.

Το FakeUpdate είναι μια στρατηγική κυβερνοεπίθεσης που χρησιμοποιείται από μια ομάδα απειλών γνωστή ως «SocGolish», η οποία παραβιάζει ή δημιουργεί ψεύτικους ιστότοπους για να δείχνει στους επισκέπτες ψεύτικα μηνύματα ενημέρωσης για μια ποικιλία εφαρμογών, όπως προγράμματα περιήγησης ιστού, Java, VMware Workstation, WebEx και Proton VPN.

Όταν οι χρήστες κάνουν κλικ σε προτροπές ενημέρωσης που έχουν σχεδιαστεί για να φαίνονται νόμιμες, γίνεται λήψη μιας ψεύτικης ενημέρωσης που ρίχνει ένα κακόβουλο ωφέλιμο φορτίο, όπως κλέφτες πληροφοριών, αποστραγγιστικά κρυπτονομισμάτων, RAT, ακόμη και ransomware.

Η τελευταία εκστρατεία ανακαλύφθηκε από ερευνητές στο Gen Threat Labsο οποίος παρατήρησε την κερκόπορτα του WarmCookie να διανέμεται ως πλαστές ενημερώσεις Google Chrome, Mozilla Firefox, Microsoft Edge και Java.

WarmCookie, πρώτα ανακαλύφθηκε από το eSentire στα μέσα του 2023, είναι μια κερκόπορτα των Windows που διανεμήθηκε πρόσφατα σε καμπάνιες ηλεκτρονικού “ψαρέματος” χρησιμοποιώντας ψεύτικες προσφορές εργασίας ως δέλεαρ.

Οι ευρείες δυνατότητές του περιλαμβάνουν κλοπή δεδομένων και αρχείων, δημιουργία προφίλ συσκευών, απαρίθμηση προγραμμάτων (μέσω του μητρώου των Windows), αυθαίρετη εκτέλεση εντολών (μέσω CMD), λήψη στιγμιότυπου οθόνης και δυνατότητα εισαγωγής πρόσθετων ωφέλιμων φορτίων στο μολυσμένο σύστημα.

Στην πιο πρόσφατη καμπάνια που εντοπίστηκε από τα Gen Threat Labs, η κερκόπορτα του WarmCookie ενημερώθηκε με νέες δυνατότητες, όπως η εκτέλεση DLL από τον φάκελο temp και η αποστολή πίσω της εξόδου, καθώς και την ικανότητα για να μεταφέρετε και να εκτελέσετε αρχεία EXE και PowerShell.

Το δέλεαρ που χρησιμοποιείται για την ενεργοποίηση της μόλυνσης είναι μια ψεύτικη ενημέρωση του προγράμματος περιήγησης, η οποία είναι κοινή για επιθέσεις FakeUpdate. Ωστόσο, η Gen Digital βρήκε επίσης έναν ιστότοπο όπου προωθήθηκε μια ψεύτικη ενημέρωση Java σε αυτήν την καμπάνια.

Η αλυσίδα μόλυνσης ξεκινά με τον χρήστη να κάνει κλικ σε μια ψεύτικη ειδοποίηση ενημέρωσης προγράμματος περιήγησης, η οποία ενεργοποιεί τη JavaScript που ανακτά το πρόγραμμα εγκατάστασης του WarmCookie και ζητά από τον χρήστη να αποθηκεύσει το αρχείο.

Όταν εκτελείται η ψεύτικη ενημέρωση λογισμικού, το κακόβουλο λογισμικό εκτελεί ορισμένους ελέγχους anti-VM για να διασφαλίσει ότι δεν εκτελείται στο περιβάλλον ενός αναλυτή και στέλνει το δακτυλικό αποτύπωμα του πρόσφατα μολυσμένου συστήματος στον διακομιστή εντολών και ελέγχου (C2), αναμένοντας οδηγίες.

Παρόλο που η Gen Threat Labs λέει ότι οι εισβολείς χρησιμοποιούν παραβιασμένους ιστότοπους σε αυτήν την καμπάνια, ορισμένοι από τους τομείς που είναι κοινόχρηστοι στην ενότητα IoC, όπως το “edgeupdate[.]com” και “mozilaupgrade[.]com”, φαίνεται να έχει επιλεγεί ειδικά για να ταιριάζει με το θέμα “FakeUpdate”.

Θυμηθείτε ότι τα Chrome, Brave, Edge, Firefox και όλα τα σύγχρονα προγράμματα περιήγησης ενημερώνονται αυτόματα όταν διατίθενται νέες ενημερώσεις.

Μπορεί να χρειαστεί επανεκκίνηση προγράμματος για να εφαρμοστεί μια ενημέρωση στο πρόγραμμα περιήγησης, αλλά η μη αυτόματη λήψη και εκτέλεση πακέτων ενημέρωσης δεν αποτελεί ποτέ μέρος μιας πραγματικής διαδικασίας ενημέρωσης και θα πρέπει να θεωρείται ως ένδειξη κινδύνου.

Σε πολλές περιπτώσεις, τα FakeUpdates παραβιάζουν νόμιμους και κατά τα άλλα αξιόπιστους ιστότοπους, επομένως αυτά τα αναδυόμενα παράθυρα θα πρέπει να αντιμετωπίζονται με προσοχή ακόμα και όταν βρίσκεστε σε μια οικεία πλατφόρμα.