Uma nova campanha de ataques cibernéticos, chamada "FakeUpdate", está direcionando usuários na França por meio de sites comprometidos que exibem falsas atualizações de navegadores e aplicativos, espalhando uma versão atualizada do malware WarmCookie.
O FakeUpdate é uma técnica usada pelo grupo de ameaças conhecido como “SocGolish”, que compromete ou cria sites fraudulentos para exibir solicitações falsas de atualização de uma variedade de aplicativos, como navegadores da Web, Java, VMware Workstation, WebEx e Proton VPN. Quando os usuários clicam nesses falsos prompts, que parecem legítimos, uma falsa atualização é baixada, infectando o sistema com cargas maliciosas, incluindo ladrões de informações, malwares de criptomoeda, RATs (Trojan de Acesso Remoto) e até mesmo ransomware.
A campanha mais recente foi descoberta pelos pesquisadores do Gen Threat Labs, que identificaram o malware WarmCookie sendo distribuído por meio de falsas atualizações de navegadores populares como Google Chrome, Mozilla Firefox, Microsoft Edge e Java.
O WarmCookie, inicialmente descoberto em meados de 2023 pela eSentire, é um backdoor para sistemas Windows, distribuído em campanhas de phishing que utilizam falsas ofertas de emprego como isca. Ele possui funcionalidades abrangentes, como roubo de dados e arquivos, criação de perfis de dispositivos, enumeração de programas, execução de comandos arbitrários (via CMD), captura de telas e inserção de cargas adicionais em sistemas infectados.
Na campanha mais recente, o WarmCookie foi atualizado com novos recursos, como execução de DLLs da pasta temporária, transferência de arquivos EXE e PowerShell, e envio de resultados para um servidor de comando e controle (C2). A isca principal para infectar os sistemas é a falsa atualização de navegadores, embora a Gen Digital também tenha identificado uma falsa atualização de Java sendo promovida na mesma campanha.
O processo de infecção começa quando o usuário clica em um falso aviso de atualização, ativando um script JavaScript que baixa o instalador do WarmCookie. O malware realiza verificações para evitar ser detectado em ambientes virtuais de análise (anti-VM) e envia a impressão digital do sistema para o servidor C2, aguardando novas instruções.
Cadeia de infecção mais recente do WarmCookie
Fonte: Gen Threat Labs
Embora os atacantes utilizem sites comprometidos para disseminar o malware, alguns domínios identificados, como “edgeupdate[.]com” e “mozilaupgrade[.]com”, foram especificamente criados para imitar atualizações legítimas de navegadores.
Vale lembrar que navegadores modernos, como Chrome, Brave, Edge e Firefox, realizam atualizações automaticamente. Em alguns casos, pode ser necessário reiniciar o navegador para concluir o processo, mas nunca há a necessidade de baixar e executar manualmente pacotes de atualização. Qualquer solicitação desse tipo deve ser considerada suspeita.
Muitas vezes, ataques FakeUpdate utilizam sites legítimos, o que reforça a importância de tratar pop-ups de atualização com cautela, mesmo em plataformas aparentemente confiáveis.
Via - BC
Comments