Falsi aggiornamenti browser: attenzione al malware WarmCookie

Una nuova campagna di phishing, denominata "FakeUpdate", sta prendendo di mira utenti in Francia utilizzando siti web compromessi per diffondere il malware WarmCookie. Questa tecnica ingannevole si basa sulla visualizzazione di falsi avvisi di aggiornamento per browser e applicazioni comuni, spingendo gli utenti a scaricare e installare un software malevolo.

Il gruppo di cybercriminali "SocGolish" è dietro questa ondata di attacchi, che sfruttano siti compromessi o creati ad hoc per mostrare notifiche fasulle di aggiornamenti per programmi come browser web, Java, VMware Workstation, WebEx e Proton VPN.

Quando l’utente fa clic su questi falsi prompt di aggiornamento, viene scaricato un file che nasconde un payload dannoso. Questo può includere programmi per il furto di informazioni personali, il controllo remoto del dispositivo, o persino strumenti per svuotare i portafogli di criptovalute. In alcuni casi, viene distribuito anche ransomware.

I browser si aggiornano automaticamente, non richiedono mai update manuali

La campagna è stata scoperta dagli esperti di Gen Threat Labs, che hanno osservato la diffusione del backdoor WarmCookie tramite falsi aggiornamenti per Google Chrome, Mozilla Firefox, Microsoft Edge e Java. WarmCookie, identificato per la prima volta nel 2023 da eSentire, è un malware per Windows che nelle precedenti campagne di phishing veniva diffuso attraverso falsi annunci di lavoro. Le sue funzionalità includono il furto di dati e file, la raccolta di informazioni sui dispositivi infetti, l'esecuzione di comandi tramite il prompt dei comandi di Windows e la possibilità di eseguire screenshot.

La versione aggiornata di WarmCookie, scoperta nell'ultima ondata di attacchi, introduce nuove capacità, tra cui l'esecuzione di DLL dalla cartella temporanea, il trasferimento di file EXE e PowerShell, e l'invio di risultati al server di controllo. L’infezione inizia quando l’utente clicca su un finto avviso di aggiornamento del browser, che attiva uno script JavaScript. Questo script scarica il file dannoso, convincendo l’utente a eseguirlo.

Gen Threat Labs ha rilevato che i cybercriminali utilizzano sia siti compromessi che domini creati appositamente per simulare aggiornamenti legittimi, come "edgeupdate[.]com" e "mozilaupgrade[.]com". È importante ricordare che i browser moderni, come Chrome e Firefox, si aggiornano automaticamente e non richiedono download manuali. Qualsiasi richiesta di aggiornamento tramite download dovrebbe essere vista con sospetto e trattata con estrema cautela, anche su siti apparentemente affidabili.