Se ha destacado un esfuerzo continuo de actualización falsa de Google Chrome dirigido a Francia, que propaga el malware WarmCookie a través de sitios web comprometidos. WarmCookie es un malware de Windows que se utiliza para obtener acceso al sistema mediante operaciones de phishing.
Se trata de una puerta trasera de dos etapas que tiene como objetivo distribuir más carga útil e inspeccionar la red de destino. Se propaga más comúnmente a través de campañas de phishing disfrazadas de ofertas de trabajo.
Las cookies calientes se pueden utilizar como máquinas de huellas dactilares, tomar capturas de pantalla, recuperar datos robados, leer y escribir archivos e interactuar con servidores de comando y control (C&C) para obtener comandos.
Descripción general de la campaña de actualización falsa
Gen Threat Labs afirma que WarmCookie también se ha actualizado.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
La última versión admite los siguientes comandos:
Obtenga el ID de la CPU y el tamaño de la memoria Tome una captura de pantalla Desinstale Enumere el programa mediante la clave de registro Ejecute cmd mediante cmd.exe /c y envíe el resultado mediante POST Escriba el archivo a la víctima Lee el archivo y lo envía de vuelta Escribe la DLL en %TEMP% y lo ejecuta Devuelve el resultado a través de rundll32.exe Igual que 8, pero comienza con el argumento “Iniciar/actualizar” Se copia a sí mismo en %TEMP% False Update página web infectada
Cuando un usuario hace clic en una página web infectada con FakeUpdate, se descarga el malware WarmCookie. Una vez instalado, se conecta a C&C para realizar más operaciones, toma capturas de pantalla, ejecuta comandos y roba datos de los discos.
Distribución de malware WarmCookie
En junio, Elastic Security Labs publicó un informe sobre una campaña de phishing que utiliza señuelos relacionados con el empleo y la contratación para difundir el malware WarmCookie.
Desde finales de abril, ha pasado a primer plano una cadena de ataques en la que se utilizan mensajes de correo electrónico de agencias de empleo como Hays, Michael Page y PageGroup para incitar a los destinatarios a hacer clic en enlaces integrados para acceder a las ofertas de trabajo de Masu.
Por lo tanto, al tomar medidas proactivas para verificar la autenticidad de las actualizaciones y adoptar soluciones de seguridad sólidas, los usuarios pueden reducir significativamente las posibilidades de ser víctimas de ataques tan avanzados.
COI:
updatechrllom(.)com javadevssdk(.)commozilaupgrade(.)comelrifeno(.)com /temp/Install_x64(.)exe 44faed020d5d8b29918a3f02d757b2cfada675 74cf9e02748ea7f75ba5878907 38(.)1 (.)117
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito