Il trucco dei falsi aggiornamenti per browser è stato sfruttato in diverse occasioni. La nuova campagna FakeUpdate ha preso di mira gli utenti francesi, ma potrebbe estendersi ad altri paesi. L’obiettivo più recente dei cybercriminali del gruppo SocGolish è installare la backdoor WarmCookie sui computer delle ignare vittime che visitano un sito infetto.
Chiudere immediatamente la pagina
La campagna più recente è stata individuata dai ricercatori dei Gen Threat Labs. I cybercriminali distribuiscono la backdoor attraverso aggiornamenti fasulli di Google Chrome, Microsoft Edge, Mozilla Firefox e Java. In passato sono stati utilizzati anche falsi update di VMware Workstation, Proton VPN e WebEx per distribuire infostealer, RAT e ransomware.
Quando l’utente visita un sito compromesso viene mostrata una pagina che invita ad aggiornare il browser. Cliccando sul pulsante viene invece eseguito il codice JavaScript che scarica l’installer di WarmCookie. Quando viene eseguito, il malware verifica l’eventuale presenza di una macchina virtuale o un ambiente di analisi, prima di inviare le informazioni del computer al server C2 (command and control).
In base ai comandi ricevuti può eseguire varie attività, tra cui cattura di screenshot, lettura/scrittura/furto dei file e avvio di comandi PowerShell. Nessun browser attuale viene aggiornato attraverso installer pubblicati su siti sconosciuti.
Gli utenti devono quindi chiudere immediatamente la pagina web ed effettuare una scansione antivirus per rilevare eventuali malware. Gli update dei browser vengono scaricati e installati automaticamente quando disponibili oppure tramite la specifica funzionalità presente nelle impostazioni.