Хакеры запустили новую киберпреступную кампанию, в рамках которой используют предварительно взломанные веб-сайты для показа поддельных обновлений для браузеров и приложений. С помощью таких фейковых обновлений злоумышленники распространяют новую версию бэкдора WarmCookie.
По словам экспертов из компании Gen Threat Labs, схема FakeUpdate является старой стратегией кибератак, используемой сейчас группой хакеров SocGolish. Киберпреступники предварительно взламывают или создают поддельные веб-сайты, чтобы показывать посетителям фейковые запросы на обновление различных приложений: веб-браузеры, Java, VMware Workstation, WebEx и Proton VPN.
Когда пользователи нажимают на баннер с требованием обновления, который выглядит как настоящий, загружается поддельное обновление, содержащее вредоносную нагрузку, например программы для кражи информации, кражи криптовалюты, трояны RAT и программы-вымогатели.
Последняя хакерская кампания такого типа была обнаружена исследователями команды Gen Threat Labs, которые заметили, что бэкдор WarmCookie распространяется под видом поддельных обновлений Google Chrome, Mozilla Firefox, Microsoft Edge и Java.
Вредонос WarmCookie, впервые обнаруженный компанией eSentire в середине 2023 года, представляет собой бэкдор для Windows, недавно замеченный в фишинговых кампаниях, использующих в качестве приманки поддельные предложения о работе. Возможности этого вредоносного ПО включают кражу данных и файлов, профилирование устройств, перечисление программ (через реестр Windows), выполнение произвольных команд (через CMD), захват скриншотов экрана и внедрение дополнительных полезных нагрузок в заражённую систему.
В последней киберпреступной кампании, обнаруженной Gen Threat Labs, бэкдор WarmCookie был обновлён. В него хакеры добавили новые функции: запуск DLL из временной папки и отправку обратно выходных данных, а также возможность передачи и выполнения файлов EXE и PowerShell.
Приманкой для заражения пользовательских устройств является поддельное обновление браузера, что типично для атак FakeUpdate. Однако эксперты Gen Digital также обнаружили сайт, на котором в этой кампании продвигалось поддельное обновление Java.
Оригинал публикации на сайте CISOCLUB: "С помощью поддельных обновлений для браузера хакеры распространяют вирус WarmCookie".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
