Hamis webböngésző-frissítések
A hamis webböngésző-frissítéseket távoli hozzáférést biztosító trójaiak (RAT) és információlopó kártevők, például a BitRAT és a Lumma Stealer (LummaC2) terjesztésére használják.
A hamis böngészőfrissítések számos malware-fertőzésért felelősek, köztük a jól ismert SocGholish malware-ért – jelezte az eSentire kiberbiztonsági cég, akik 2024 áprilisában megfigyelték, hogy a FakeBat-et hasonló hamis frissítési mechanizmusokon keresztül terjesztették.
A támadási lánc akkor kezdődik, amikor a leendő célpontok meglátogatnak egy csapdába ejtett weboldalt, amely JavaScript-kódot tartalmaz, amelynek célja, hogy a felhasználókat egy hamis böngészőfrissítési oldalra (“chatgpt-app[.]cloud”) irányítsa át.
Az átirányított weboldal egy ZIP-tömörített fájl (Update.zip) letöltési linkjével beágyazva érkezik, amelyet a Discordon tárolnak, és automatikusan letöltődik az áldozat eszközére.
A fenyegető szereplők gyakran használják a Discordot támadási vektorként: a Bitdefender nemrégiben végzett elemzése több mint 50 000 veszélyes linket fedezett fel, amelyek rosszindulatú szoftvereket, adathalászkampányokat és spameket terjesztettek az elmúlt hat hónapban.