Исследователи кибербезопасности из Gen Threat Labs заметили, что несколько веб-сайтов распространяют вредоносное ПО под названием WarmCookie, замаскированное под обновления популярного программного обеспечения.
Эксперты обнаружили, что эти веб-сайты либо были созданы с нуля, либо когда-то были законными, а затем в конечном итоге были захвачены, но все они выдавали посетителям ложное предупреждение о том, что различные компоненты их компьютеров устарели и нуждаются в обновлении.
Это были либо их веб-браузеры, либо Java, VMware Workstation, WebEx или Proton VPN, а посетители, которые поддались на уловку и согласились на загрузку, подверглись воздействию бэкдора под названием WarmCookie — вредоносного ПО, впервые обнаруженного в середине 2023 года.
Бэкдор WarmCookie
Эксперты предупредили, что вредоносное ПО может похищать данные и различные файлы по запросу оператора, перечислять программы через реестр Windows, выполнять произвольные команды через CMD, делать снимки экрана и перебрасывать дополнительные полезные нагрузки на целевые конечные точки.
Кроме того, WarmCookie может выполнять библиотеки DLL из временной папки и возвращать выходные данные, а также передавать и выполнять файлы EXE и PowerShell.
В атаках с ложными обновлениями нет ничего нового: на самом деле они так же стары, как сам Интернет, и направлены на то, чтобы заставить посетителей думать, что их компьютер находится под угрозой. На самом базовом уровне атака представляет собой не что иное, как всплывающее окно.
Лучший способ защититься от этих атак — узнать, как большинство этих программ взаимодействуют со своими пользователями и как они обновляются. Большинство браузеров обновляются автоматически и никогда не предлагают пользователям загрузить и запустить исполняемый файл. Другие программы обычно требуют от пользователя посетить официальную домашнюю страницу и загрузить новый установочный файл, который в большинстве случаев перезаписывает существующую установку. Также помогает установка антивирусной программы.
Над ПипКомпьютер
Больше от TechRadar Pro
