Компания Gen Threat Labs обнаружила новую кампанию, которая использует поддельные обновления браузеров и приложений для распространения обновленной версии бэкдора WarmCookie. Злоумышленники, использующие метод «FakeUpdates», нацелены на пользователей во Франции и распространяют вредоносное ПО через взломанные веб-сайты, которые имитируют уведомления о легитимных обновлениях браузера.
WarmCookie Backdoor
Бэкдор WarmCookie, впервые обнаруженный в 2023 году, был замечен в фишинговых кампаниях и обладает такими возможностями, как кража данных, профилирование устройства, перечисление программ через реестр Windows, выполнение произвольных команд через CMD, захват скриншотов и доставка дополнительных полезных нагрузок вредоносного ПО. В ходе недавней кампании злоумышленники распространяли поддельные обновления для Google Chrome, Mozilla Firefox, Microsoft Edge и Java, обманом заставляя пользователей загрузить вредоносную полезную нагрузку WarmCookie. Атака начинается, когда пользователь нажимает на поддельное уведомление об обновлении. Это запускает JavaScript для поиска установщика WarmCookie и предлагает пользователю сохранить файл. Теперь вредоносная программа включает обновленные функции, такие как запуск DLL из временной папки, использование rundll32.exe и отправка вывода обратно. Кроме того, он включает передачу и выполнение файлов EXE и PowerShell. После установки WarmCookie выполняет антивирусную проверку, чтобы избежать обнаружения. Кроме того, он отправляет отпечаток пальца системы на свой командно-контрольный сервер (C2) для получения дальнейших инструкций.
Indicators of Compromise
Domains
- edgeupgrade.com
- javadevssdk.com
- mozilaupgrade.com
- updatechrllom.com
SHA256
- 44faed020d5d8b29918a3f02d757b2cfada67574cf9e02748ea7f75ba5878907
