Malware WarmCookie, attenzione ai falsi aggiornamenti del browser

Una nuova campagna di cyber criminali ha iniziato a diffondere il malware WarmCookie attraverso falsi aggiornamenti del browser. Quest’ultimo attacco di tipo “FakeUpdate”, segnalato dai ricercatori di Gen Threth Labs sfrutta la fiducia degli utenti nei confronti degli aggiornamenti di sicurezza, inducendoli a scaricare software dannoso.

La catena d’infezione

Gli utenti vengono ingannati da pagine web, che sembrano legittime richieste di aggiornamento per browser come Google Chrome, Mozilla Firefox e Microsoft Edge, ma che in realtà contengono link che scaricano il malware WarmCookie.

WarmCookie è una backdoor per Windows vista già in passato in campagne di phishing che utilizzavanno false offerte di lavoro.

Fonte Gen Threth Labs

Come rappresentato graficamente dai ricercatori, la catena di infezione inizia quando l’utente clicca su un falso avviso di aggiornamento che scarica un file JavaScript per il recupero del programma di installazione finale di WarmCookie.

Fonte Gen Threth Labs

Una volta installato il malware procede ad eseguire alcuni controlli anti-VM e anti-debug inviando il fingerprinting del sistema appena infettato al proprio server C2, in attesa di ulteriori istruzioni.

In particolare quest’ultima istanza della backdoor WarmCookie presenterebbe nuove funzionalità che consentono tra l’altro la profilazione dei dispositivi, l’enumerazione dei programmi, l’esecuzione di comandi arbitrari via CMD e la cattura di screenshot.

Misure preventive

La diffusione del malware WarmCookie attraverso falsi aggiornamenti sofware è un esempio di come i cyber criminali sfruttano la fiducia degli utenti. È fondamentale adottare misure preventive per proteggere i propri dispositivi e dati personali:

1. I browser come Chrome e Firefox si aggiornano automaticamente. Non è necessario scaricare aggiornamenti manualmente.

2. Se si ricevono pop-up di aggiornamento software, occorre verificare sempre l’autenticità visitando il sito ufficiale del produttore.

3. Mantenere aggiornato il proprio software antivirus per rilevare e bloccare eventuali minacce.

Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.