Uma nova campanha 'FakeUpdate' voltada para usuários na França utiliza sites comprometidos para mostrar falsas atualizações de navegadores e aplicativos que espalham uma nova versão do backdoor WarmCookie.
FakeUpdate é uma estratégia de ciberataque usada por um grupo de ameaça conhecido como 'SocGolish', que compromete ou cria sites falsos para exibir aos visitantes falsas solicitações de atualização para uma variedade de aplicativos, como navegadores web, Java, VMware Workstation, WebEx e Proton VPN.
Quando os usuários clicam nas solicitações de atualização projetadas para parecer legítimas, uma falsa atualização é baixada, liberando um payload malicioso, como ladrões de informações, drenadores de criptomoedas, RATs (Remote Access Trojans) e até ransomware.
A campanha mais recente foi descoberta por pesquisadores da Gen Threat Labs, que observaram o backdoor WarmCookie sendo distribuído como falsas atualizações do Google Chrome, Mozilla Firefox, Microsoft Edge e Java.
WarmCookie, descoberto pela primeira vez pela eSentire em meados de 2023, é um backdoor para Windows recentemente visto distribuído em campanhas de phishing utilizando falsas ofertas de emprego como iscas.
Suas amplas capacidades incluem roubo de dados e arquivos, perfilamento de dispositivos, enumeração de programas (via o Registro do Windows), execução de comandos arbitrários (via CMD), captura de screenshots e a capacidade de introduzir payloads adicionais no sistema infectado.
Na mais recente campanha observada pela Gen Threat Labs, o backdoor WarmCookie foi atualizado com novas funcionalidades, incluindo a execução de DLLs a partir da pasta temp e o envio de volta da saída, assim como a capacidade de transferir e executar arquivos EXE e PowerShell.
O isca usada para desencadear a infecção é uma falsa atualização de navegador, o que é comum para ataques FakeUpdate.
No entanto, a Gen Digital também encontrou um site onde uma falsa atualização de Java foi promovida nesta campanha.
A cadeia de infecção começa com o usuário clicando em um aviso de falsa atualização do navegador, o que aciona um JavaScript que busca o instalador do WarmCookie e solicita ao usuário para salvar o arquivo.
Quando a falsa atualização do software é executada, o malware realiza algumas verificações anti-VM para garantir que não esteja rodando em um ambiente de analista e envia a impressão digital do sistema recém-infectado para o servidor de comando e controle (C2), aguardando instruções.
Embora a Gen Threat Labs diga que os atacantes utilizam sites comprometidos nesta campanha, alguns dos domínios compartilhados na seção de IoC, como "edgeupdate[.]com" e "mozilaupgrade[.]com", parecem especificamente selecionados para corresponder ao tema 'FakeUpdate'.
Lembre-se, Chrome, Brave, Edge, Firefox e todos os navegadores modernos são atualizados automaticamente quando novas atualizações se tornam disponíveis.
Pode ser necessário reiniciar o programa para que uma atualização seja aplicada ao navegador, mas baixar e executar manualmente pacotes de atualização nunca faz parte do processo de atualização real e deve ser visto como um sinal de perigo.
Em muitos casos, FakeUpdates comprometem sites legítimos e de outra forma confiáveis, então esses pop-ups devem ser tratados com cautela mesmo quando você está em uma plataforma familiar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...