WarmCookie terjesztése FakeUpdate kampányban
A FakeUpdate egy kibertámadási stratégia, amelyet a „SocGolish” néven ismert fenyegető csoport használ, amely hamis weboldalakat tesz tönkre vagy hoz létre, hogy hamis frissítéseket mutasson a látogatóknak különböző alkalmazásokhoz, például webböngészőkhöz, Java-hoz, VMware Workstationhöz, WebEx-hez és Proton VPN-hez. Amikor a felhasználók rákattintanak a legitimnek tűnő frissítéskérésekre, egy hamis frissítés töltődik le, amely rosszindulatú hasznos terhet, például infólopókat, kriptopénz drainereket, RAT-okat és akár ransomware-ket is letölthet. A legújabb kampányt a Gen Threat Labs kutatói fedezték fel, akik megfigyelték, hogy a WarmCookie backdoor-t hamis Google Chrome, Mozilla Firefox, Microsoft Edge és Java frissítések formájában terjesztik. A WarmCookie, amelyet először az eSentire fedezett fel 2023 közepén, egy Windows backdoor, amelyet nemrégiben láttak elterjedni adathalász kampányokban, amelyekben hamis állásajánlatokat használtak csaliként. A Gen Threat Labs által észlelt legújabb kampányban a WarmCookie backdoor új funkciókkal frissült, beleértve a DLL-ek futtatását a temp mappából és a kimenet visszaküldését, valamint az EXE és PowerShell fájlok átvitelének és végrehajtásának képességét.
