Un nuovo attacco informatico basato sulla tecnica del FakeUpdate sfrutta siti Web compromessi per distribuire falsi aggiornamenti di browser e applicazioni. L’obbiettivo รจ quello di installare una nuova variante del malware WarmCookie.
Il gruppo responsabile della campagna malevola, noto come SocGolish, mira ad ingannare gli utenti con avvisi di aggiornamento fasulli di applicazioni comuni come Chrome, Firefox, Edge e Java.
Cos’รจ un attacco FakeUpdate
Gli attacchi FakeUpdate funzionano mostrando dei pop-up che sembrano autentici. Inducendo gli utenti a cliccare su di essi per scaricare “aggiornamenti” che, invece, veicolano dei malware. Una volta eseguiti essi diffondono payload dannosi come info-stealer, RAT (Remote Access Trojan), tool per la sottrazione di criptovalute e ransomware. Il tutto con l’obiettivo di rubare dati, denaro o controllare i dispositivi colpiti.
Secondo i ricercatori di Gen Threat Labs che hanno scoperto la campagna malevola, il malware che viene distribuito in questo modo รจ WarmCookie con funzionalitร di backdoor. Rilevato per la prima volta nel 2023, ha la capacitร di accedere ai dati, eseguire comandi arbitrari, catturare schermate e introdurre ulteriori minacce sul sistema infetto.
La variante piรน recente di WarmCookie include nuove funzioni come l’esecuzione di file DLL dalla cartella temporanea e di file EXE e PowerShell che ne aumentano la pericolositร .
Come si diffonde l’infezione
Il metodo di infezione di FakeUpdate segue un processo molto semplice: un utente clicca su un falso avviso di aggiornamento del browser. Viene cosรฌ attivato uno script JavaScript che scarica e installa il malware. Una volta insediatosi nel sistema esso invia i dati del device infetto a un server di comando e controllo in attesa di ulteriori istruzioni.
Gli esperti di sicurezza consigliano di non scaricare manualmente pacchetti di aggiornamento. Anche quando sono disponibili su siti Internet apparentemente affidabili. I browser piรน diffusi si aggiornano infatti automaticamente.
