Une nouvelle campagne « FakeUpdate » ciblant les utilisateurs en France exploite des sites Web compromis pour afficher de fausses mises à jour de navigateurs et d’applications qui diffusent une nouvelle version de la porte dérobée WarmCookie.
FakeUpdate est une stratégie de cyberattaque utilisée par un groupe de menaces connu sous le nom de « SocGolish » qui compromet ou crée de faux sites Web pour montrer aux visiteurs de fausses invites de mise à jour pour une variété d’applications, telles que les navigateurs Web, Java, VMware Workstation, WebEx et Proton VPN.
Lorsque les utilisateurs cliquent sur des invites de mise à jour conçues pour sembler légitimes, une fausse mise à jour est téléchargée qui supprime une charge utile malveillante, comme des voleurs d’informations, des draineurs de crypto-monnaie, des rats et même des ransomwares.
La dernière campagne a été découverte par des chercheurs de Gen Threat Labs, qui ont observé que la porte dérobée WarmCookie était distribuée sous forme de fausses mises à jour de Google Chrome, Mozilla Firefox, Microsoft Edge et Java.
WarmCookie, découvert pour la première fois par eSentire à la mi-2023, est une porte dérobée Windows récemment vue distribuée dans des campagnes de phishing utilisant de fausses offres d’emploi comme leurres.
Ses vastes capacités incluent le vol de données et de fichiers, le profilage de périphériques, l’énumération de programmes (via le registre Windows), l’exécution arbitraire de commandes (via CMD), la capture d’écran et la possibilité d’introduire des charges utiles supplémentaires sur le système infecté.
Dans la dernière campagne repérée par Gen Threat Labs, la porte dérobée WarmCookie a été mise à jour avec de nouvelles fonctionnalités, notamment l’exécution de DLL à partir du dossier temporaire et le renvoi de la sortie, ainsi que la possibilité de transférer et d’exécuter des fichiers EXE et PowerShell.
Le leurre utilisé pour déclencher l’infection est une fausse mise à jour du navigateur, ce qui est courant pour les attaques FakeUpdate. Cependant, Gen Digital a également trouvé un site sur lequel une fausse mise à jour Java a été promue dans cette campagne.
La chaîne d’infection commence lorsque l’utilisateur clique sur un faux avis de mise à jour du navigateur, ce qui déclenche JavaScript qui récupère le programme d’installation de WarmCookie et invite l’utilisateur à enregistrer le fichier.
Lorsque la fausse mise à jour logicielle est exécutée, le logiciel malveillant effectue des vérifications anti-VM pour s’assurer qu’il ne s’exécute pas sur l’environnement d’un analyste et envoie l’empreinte digitale du système nouvellement infecté au serveur de commande et de contrôle (C2), en attendant les instructions.
Bien que Gen Threat Labs affirme que les attaquants utilisent des sites Web compromis dans cette campagne, certains des domaines partagés dans la section IoC, comme » edgeupdate[.] avec » et « mise à niveau mozilla[.] com, « semblent spécifiquement sélectionnés pour correspondre au thème « FakeUpdate ».
N’oubliez pas que Chrome, Brave, Edge, Firefox et tous les navigateurs modernes sont automatiquement mis à jour lorsque de nouvelles mises à jour sont disponibles.
Un redémarrage du programme peut être nécessaire pour qu’une mise à jour soit appliquée au navigateur, mais le téléchargement et l’exécution manuels des packages de mise à jour ne font jamais partie d’un processus de mise à jour réel et doivent être considérés comme un signe de danger.
Dans de nombreux cas, les fausses mises à jour compromettent des sites Web légitimes et dignes de confiance, de sorte que ces fenêtres contextuelles doivent être traitées avec prudence même lorsque vous êtes sur une plate-forme familière.