Hamis böngészőfrissítések
A Proofpoint több különböző fenyegetésfürtöt követ nyomon, amelyek hasonló témákat használnak a hamis böngészőfrissítésekkel kapcsolatban, amelyek visszaélnek a felhasználói bizalommal és a feltört weboldalakkal, a felhasználó böngészőjére szabott csalikkal, amelyek legitimálják a frissítést, és ráveszik a felhasználókat a kattintásra. A különböző kampányok hasonló csalikat használnak, de eltérő rakományt. Fontos azonosítani, hogy a fenyegetés melyik kampányhoz és rosszindulatú programcsoporthoz tartozik, hogy segítse a védekező válaszát.
A Proofpoint jelenleg legalább négy különálló fenyegetésfürtöt követ nyomon, amelyek hamis böngészőfrissítéseket használnak a rosszindulatú programok terjesztésére. A hamis böngészőfrissítések olyan feltört webhelyekre vonatkoznak, amelyek a böngésző fejlesztőitől származó értesítésnek tűnő értesítést jelenítenek meg, például a Chrome, a Firefox vagy az Edge, amely tájékoztatja őket arról, hogy böngészőszoftverüket frissíteni kell. Amikor a felhasználó rákattint a linkre, nem egy legális böngészőfrissítést tölt le, hanem káros kártevőt. A hamis böngészőfrissítéseket vezérlő fenyegető szereplők JavaScriptet vagy HTML-kódot használnak, amely a forgalmat az általuk ellenőrzött domainre irányítja, ami potenciálisan felülírhatja a weboldalt a potenciális áldozat által használt webböngészőre jellemző böngészőfrissítési csalival. A rosszindulatú rakomány ezután automatikusan letöltődik, vagy a felhasználó felszólítást kap egy „böngészőfrissítés” letöltésére, amely elküldi a hasznos terhet.