Ψεύτικες ενημερώσεις browser διαδίδουν το WarmCookie malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ψεύτικες ενημερώσεις browser διαδίδουν το WarmCookie malware
https://www.secnews.gr/623111/pseftikes-enimeroseis-browser-diadidoun-warmcookie-malware/
Oct 3rd 2024, 10:55
Μια νέα καμπάνια «FakeUpdate» που στοχεύει χρήστες στη Γαλλία αξιοποιεί παραβιασμένους ιστότοπους για να εμφανίζει ψεύτικες ενημερώσεις browser και εφαρμογών που διαδίδουν μια νέα έκδοση του WarmCookie malware.
Δείτε επίσης: SnipBot: Νέα έκδοση του RomCom malware κλέβει δεδομένα
Το FakeUpdate είναι μια στρατηγική κυβερνοεπίθεσης που χρησιμοποιείται από μια ομάδα απειλών γνωστή ως «SocGolish», η οποία παραβιάζει ή δημιουργεί ψεύτικους ιστότοπους για να δείχνει στους επισκέπτες ψεύτικα μηνύματα ενημέρωσης για μια ποικιλία εφαρμογών, όπως προγράμματα περιήγησης ιστού, Java, VMware Workstation, WebEx και Proton VPN.
Όταν οι χρήστες κάνουν κλικ σε προτροπές ενημέρωσης που έχουν σχεδιαστεί για να φαίνονται νόμιμες, γίνεται λήψη μιας ψεύτικης ενημέρωσης που ρίχνει ένα κακόβουλο ωφέλιμο φορτίο, όπως infostealers, cryptocurrency drainers, RAT, ακόμη και ransomware.
Η τελευταία καμπάνια ανακαλύφθηκε από ερευνητές στο Gen Threat Labs, οι οποίοι παρατήρησαν τo WarmCookie malware να διανέμεται μέσω πλαστών ενημερώσεων Google Chrome, Mozilla Firefox, Microsoft Edge και Java.
Το WarmCookie, το οποίο ανακαλύφθηκε για πρώτη φορά από το eSentire στα μέσα του 2023, είναι ένα backdoor των Windows που διανεμήθηκε πρόσφατα σε καμπάνιες phishing χρησιμοποιώντας ψεύτικες προσφορές εργασίας ως δέλεαρ.
Οι εκτενείς δυνατότητές του περιλαμβάνουν την κλοπή δεδομένων και αρχείων, τη δημιουργία προφίλ συσκευών, την απαρίθμηση προγραμμάτων μέσω του μητρώου των Windows, την αυθαίρετη εκτέλεση εντολών μέσω CMD, τη λήψη στιγμιότυπων οθόνης, καθώς και την ικανότητα εισαγωγής επιπλέον ωφέλιμων φορτίων στο μολυσμένο σύστημα.
Στη πιο πρόσφατη καμπάνια που ανακάλυψε η Gen Threat Labs, το WarmCookie malware απέκτησε ανανεωμένες δυνατότητες. Τώρα μπορεί να εκτελεί DLL από το φάκελο temp και να στέλνει πίσω τo output, ενώ παράλληλα έχει τη δυνατότητα να μεταφέρει και να εκτελεί αρχεία EXE και PowerShell.
Δείτε ακόμα: Ψεύτικα αιτήματα CAPTCHA περιέχουν malware
Το δέλεαρ που χρησιμοποιείται για την ενεργοποίηση της μόλυνσης είναι μια ψεύτικη ενημέρωση του προγράμματος περιήγησης, η οποία είναι κοινή για επιθέσεις FakeUpdate. Ωστόσο, η Gen Digital βρήκε επίσης έναν ιστότοπο όπου προωθήθηκε μια ψεύτικη ενημέρωση Java σε αυτήν την καμπάνια.
Η αλυσίδα μολύνσης ξεκινά όταν ο χρήστης κάνει κλικ σε μια ψεύτικη ειδοποίηση για ενημέρωση προγράμματος περιήγησης. Αυτό ενεργοποιεί τo JavaScript, το οποίο ανακτά το πρόγραμμα εγκατάστασης του WarmCookie και ζητά από τον χρήστη να αποθηκεύσει το αρχείο.
Όταν εκτελείται η ψεύτικη ενημέρωση λογισμικού, το WarmCookie malware εκτελεί ορισμένους ελέγχους anti-VM για να διασφαλίσει ότι δεν εκτελείται στο περιβάλλον ενός αναλυτή και στέλνει το δακτυλικό αποτύπωμα του πρόσφατα μολυσμένου συστήματος στον διακομιστή εντολών και ελέγχου (C2), αναμένοντας οδηγίες.
Παρόλο που η Gen Threat Labs λέει ότι οι επιτιθέμενοι χρησιμοποιούν παραβιασμένους ιστότοπους σε αυτήν την καμπάνια, ορισμένοι από τους τομείς που μοιράζονται στην ενότητα IoC, όπως "edgeupdate[.]com" και "mozilaupgrade[.]com", φαίνεται να έχουν επιλεγεί ειδικά για να ταιριάζουν με το θέμα "FakeUpdate".
Θυμηθείτε ότι τα Chrome, Brave, Edge, Firefox και όλα τα σύγχρονα προγράμματα περιήγησης ενημερώνονται αυτόματα όταν διατίθενται νέες ενημερώσεις.
Μπορεί να χρειαστεί επανεκκίνηση προγράμματος για να εφαρμοστεί μια ενημέρωση στον browser, αλλά η μη αυτόματη λήψη και εκτέλεση πακέτων ενημέρωσης δεν αποτελεί ποτέ μέρος μιας πραγματικής διαδικασίας ενημέρωσης και θα πρέπει να θεωρείται ως ένδειξη κινδύνου.
Σε πολλές περιπτώσεις, τα FakeUpdates παραβιάζουν νόμιμους και κατά τα άλλα αξιόπιστους ιστότοπους, επομένως αυτά τα αναδυόμενα παράθυρα θα πρέπει να αντιμετωπίζονται με προσοχή ακόμα και όταν βρίσκεστε σε μια οικεία πλατφόρμα.
Δείτε επίσης: Χάκερς κρύβουν Malware σε πλαστά «διαγραμμένα αρχεία Diddy»
Malware, όπως το WarmCookie, έχει σαν στόχο να προκαλέσει βλάβη σε έναν υπολογιστή, διακομιστή, πελάτη ή δίκτυο υπολογιστών. Οι διαφορετικοί τύποι κακόβουλου λογισμικού περιλαμβάνουν ιούς, worm, trojans, ransomware, spyware, adware και άλλα. Αυτά τα κακόβουλα προγράμματα μπορούν να διεισδύσουν σε συστήματα μέσω διαφόρων μεθόδων, όπως συνημμένα email, λήψεις λογισμικού ή επίσκεψη σε μολυσμένες τοποθεσίες. Μόλις εισέλθει, το κακόβουλο λογισμικό μπορεί να κλέψει, να κρυπτογραφήσει ή να διαγράψει ευαίσθητα δεδομένα, να αλλάξει ή να παραβιάσει βασικές λειτουργίες υπολογιστών και να παρακολουθήσει τη δραστηριότητα του υπολογιστή των χρηστών χωρίς άδεια. Η προστασία από κακόβουλο λογισμικό περιλαμβάνει τη χρήση λογισμικού προστασίας από ιούς, τη διατήρηση ενημερωμένων συστημάτων και την άσκηση ασφαλών συνηθειών περιήγησης. Η κατανόηση των κινδύνων που σχετίζονται με το κακόβουλο λογισμικό είναι ζωτικής σημασίας τόσο για τα άτομα όσο και για τους οργανισμούς για την προστασία του ψηφιακού τους περιβάλλοντος.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ψεύτικες ενημερώσεις browser διαδίδουν το WarmCookie malware
https://www.secnews.gr/623111/pseftikes-enimeroseis-browser-diadidoun-warmcookie-malware/
Oct 3rd 2024, 10:55
Μια νέα καμπάνια «FakeUpdate» που στοχεύει χρήστες στη Γαλλία αξιοποιεί παραβιασμένους ιστότοπους για να εμφανίζει ψεύτικες ενημερώσεις browser και εφαρμογών που διαδίδουν μια νέα έκδοση του WarmCookie malware.
Δείτε επίσης: SnipBot: Νέα έκδοση του RomCom malware κλέβει δεδομένα
Το FakeUpdate είναι μια στρατηγική κυβερνοεπίθεσης που χρησιμοποιείται από μια ομάδα απειλών γνωστή ως «SocGolish», η οποία παραβιάζει ή δημιουργεί ψεύτικους ιστότοπους για να δείχνει στους επισκέπτες ψεύτικα μηνύματα ενημέρωσης για μια ποικιλία εφαρμογών, όπως προγράμματα περιήγησης ιστού, Java, VMware Workstation, WebEx και Proton VPN.
Όταν οι χρήστες κάνουν κλικ σε προτροπές ενημέρωσης που έχουν σχεδιαστεί για να φαίνονται νόμιμες, γίνεται λήψη μιας ψεύτικης ενημέρωσης που ρίχνει ένα κακόβουλο ωφέλιμο φορτίο, όπως infostealers, cryptocurrency drainers, RAT, ακόμη και ransomware.
Η τελευταία καμπάνια ανακαλύφθηκε από ερευνητές στο Gen Threat Labs, οι οποίοι παρατήρησαν τo WarmCookie malware να διανέμεται μέσω πλαστών ενημερώσεων Google Chrome, Mozilla Firefox, Microsoft Edge και Java.
Το WarmCookie, το οποίο ανακαλύφθηκε για πρώτη φορά από το eSentire στα μέσα του 2023, είναι ένα backdoor των Windows που διανεμήθηκε πρόσφατα σε καμπάνιες phishing χρησιμοποιώντας ψεύτικες προσφορές εργασίας ως δέλεαρ.
Οι εκτενείς δυνατότητές του περιλαμβάνουν την κλοπή δεδομένων και αρχείων, τη δημιουργία προφίλ συσκευών, την απαρίθμηση προγραμμάτων μέσω του μητρώου των Windows, την αυθαίρετη εκτέλεση εντολών μέσω CMD, τη λήψη στιγμιότυπων οθόνης, καθώς και την ικανότητα εισαγωγής επιπλέον ωφέλιμων φορτίων στο μολυσμένο σύστημα.
Στη πιο πρόσφατη καμπάνια που ανακάλυψε η Gen Threat Labs, το WarmCookie malware απέκτησε ανανεωμένες δυνατότητες. Τώρα μπορεί να εκτελεί DLL από το φάκελο temp και να στέλνει πίσω τo output, ενώ παράλληλα έχει τη δυνατότητα να μεταφέρει και να εκτελεί αρχεία EXE και PowerShell.
Δείτε ακόμα: Ψεύτικα αιτήματα CAPTCHA περιέχουν malware
Το δέλεαρ που χρησιμοποιείται για την ενεργοποίηση της μόλυνσης είναι μια ψεύτικη ενημέρωση του προγράμματος περιήγησης, η οποία είναι κοινή για επιθέσεις FakeUpdate. Ωστόσο, η Gen Digital βρήκε επίσης έναν ιστότοπο όπου προωθήθηκε μια ψεύτικη ενημέρωση Java σε αυτήν την καμπάνια.
Η αλυσίδα μολύνσης ξεκινά όταν ο χρήστης κάνει κλικ σε μια ψεύτικη ειδοποίηση για ενημέρωση προγράμματος περιήγησης. Αυτό ενεργοποιεί τo JavaScript, το οποίο ανακτά το πρόγραμμα εγκατάστασης του WarmCookie και ζητά από τον χρήστη να αποθηκεύσει το αρχείο.
Όταν εκτελείται η ψεύτικη ενημέρωση λογισμικού, το WarmCookie malware εκτελεί ορισμένους ελέγχους anti-VM για να διασφαλίσει ότι δεν εκτελείται στο περιβάλλον ενός αναλυτή και στέλνει το δακτυλικό αποτύπωμα του πρόσφατα μολυσμένου συστήματος στον διακομιστή εντολών και ελέγχου (C2), αναμένοντας οδηγίες.
Παρόλο που η Gen Threat Labs λέει ότι οι επιτιθέμενοι χρησιμοποιούν παραβιασμένους ιστότοπους σε αυτήν την καμπάνια, ορισμένοι από τους τομείς που μοιράζονται στην ενότητα IoC, όπως "edgeupdate[.]com" και "mozilaupgrade[.]com", φαίνεται να έχουν επιλεγεί ειδικά για να ταιριάζουν με το θέμα "FakeUpdate".
Θυμηθείτε ότι τα Chrome, Brave, Edge, Firefox και όλα τα σύγχρονα προγράμματα περιήγησης ενημερώνονται αυτόματα όταν διατίθενται νέες ενημερώσεις.
Μπορεί να χρειαστεί επανεκκίνηση προγράμματος για να εφαρμοστεί μια ενημέρωση στον browser, αλλά η μη αυτόματη λήψη και εκτέλεση πακέτων ενημέρωσης δεν αποτελεί ποτέ μέρος μιας πραγματικής διαδικασίας ενημέρωσης και θα πρέπει να θεωρείται ως ένδειξη κινδύνου.
Σε πολλές περιπτώσεις, τα FakeUpdates παραβιάζουν νόμιμους και κατά τα άλλα αξιόπιστους ιστότοπους, επομένως αυτά τα αναδυόμενα παράθυρα θα πρέπει να αντιμετωπίζονται με προσοχή ακόμα και όταν βρίσκεστε σε μια οικεία πλατφόρμα.
Δείτε επίσης: Χάκερς κρύβουν Malware σε πλαστά «διαγραμμένα αρχεία Diddy»
Malware, όπως το WarmCookie, έχει σαν στόχο να προκαλέσει βλάβη σε έναν υπολογιστή, διακομιστή, πελάτη ή δίκτυο υπολογιστών. Οι διαφορετικοί τύποι κακόβουλου λογισμικού περιλαμβάνουν ιούς, worm, trojans, ransomware, spyware, adware και άλλα. Αυτά τα κακόβουλα προγράμματα μπορούν να διεισδύσουν σε συστήματα μέσω διαφόρων μεθόδων, όπως συνημμένα email, λήψεις λογισμικού ή επίσκεψη σε μολυσμένες τοποθεσίες. Μόλις εισέλθει, το κακόβουλο λογισμικό μπορεί να κλέψει, να κρυπτογραφήσει ή να διαγράψει ευαίσθητα δεδομένα, να αλλάξει ή να παραβιάσει βασικές λειτουργίες υπολογιστών και να παρακολουθήσει τη δραστηριότητα του υπολογιστή των χρηστών χωρίς άδεια. Η προστασία από κακόβουλο λογισμικό περιλαμβάνει τη χρήση λογισμικού προστασίας από ιούς, τη διατήρηση ενημερωμένων συστημάτων και την άσκηση ασφαλών συνηθειών περιήγησης. Η κατανόηση των κινδύνων που σχετίζονται με το κακόβουλο λογισμικό είναι ζωτικής σημασίας τόσο για τα άτομα όσο και για τους οργανισμούς για την προστασία του ψηφιακού τους περιβάλλοντος.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια