Un nuovo attacco informatico basato sulla tecnica del FakeUpdate sfrutta siti Web compromessi per distribuire falsi aggiornamenti di browser e applicazioni. L’obbiettivo è quello di installare una nuova variante del malware WarmCookie.
Il gruppo responsabile della campagna malevola, noto come SocGolish, mira ad ingannare gli utenti con avvisi di aggiornamento fasulli di applicazioni comuni come Chrome, Firefox, Edge e Java.
Cos’è un attacco FakeUpdate
Gli attacchi FakeUpdate funzionano mostrando dei pop-up che sembrano autentici. Inducendo gli utenti a cliccare su di essi per scaricare “aggiornamenti” che, invece, veicolano dei malware. Una volta eseguiti essi diffondono payload dannosi come info-stealer, RAT (Remote Access Trojan), tool per la sottrazione di criptovalute e ransomware. Il tutto con l’obiettivo di rubare dati, denaro o controllare i dispositivi colpiti.
Secondo i ricercatori di Gen Threat Labs che hanno scoperto la campagna malevola, il malware che viene distribuito in questo modo è WarmCookie con funzionalità di backdoor. Rilevato per la prima volta nel 2023, ha la capacità di accedere ai dati, eseguire comandi arbitrari, catturare schermate e introdurre ulteriori minacce sul sistema infetto.
La variante più recente di WarmCookie include nuove funzioni come l’esecuzione di file DLL dalla cartella temporanea e di file EXE e PowerShell che ne aumentano la pericolosità.
Come si diffonde l’infezione
Il metodo di infezione di FakeUpdate segue un processo molto semplice: un utente clicca su un falso avviso di aggiornamento del browser. Viene così attivato uno script JavaScript che scarica e installa il malware. Una volta insediatosi nel sistema esso invia i dati del device infetto a un server di comando e controllo in attesa di ulteriori istruzioni.
Gli esperti di sicurezza consigliano di non scaricare manualmente pacchetti di aggiornamento. Anche quando sono disponibili su siti Internet apparentemente affidabili. I browser più diffusi si aggiornano infatti automaticamente.
Per restare sempre aggiornato seguici su Google News!
