
Una nuova campagna di cyber criminali ha iniziato a diffondere il malware WarmCookie attraverso falsi aggiornamenti del browser. Quest’ultimo attacco di tipo “FakeUpdate”, segnalato dai ricercatori di Gen Threth Labs sfrutta la fiducia degli utenti nei confronti degli aggiornamenti di sicurezza, inducendoli a scaricare software dannoso.
La catena d’infezione
Gli utenti vengono ingannati da pagine web, che sembrano legittime richieste di aggiornamento per browser come Google Chrome, Mozilla Firefox e Microsoft Edge, ma che in realtà contengono link che scaricano il malware WarmCookie.
WarmCookie è una backdoor per Windows vista già in passato in campagne di phishing che utilizzavanno false offerte di lavoro.

Come rappresentato graficamente dai ricercatori, la catena di infezione inizia quando l’utente clicca su un falso avviso di aggiornamento che scarica un file JavaScript per il recupero del programma di installazione finale di WarmCookie.

Una volta installato il malware procede ad eseguire alcuni controlli anti-VM e anti-debug inviando il fingerprinting del sistema appena infettato al proprio server C2, in attesa di ulteriori istruzioni.
In particolare quest’ultima istanza della backdoor WarmCookie presenterebbe nuove funzionalità che consentono tra l’altro la profilazione dei dispositivi, l’enumerazione dei programmi, l’esecuzione di comandi arbitrari via CMD e la cattura di screenshot.
Misure preventive
La diffusione del malware WarmCookie attraverso falsi aggiornamenti sofware è un esempio di come i cyber criminali sfruttano la fiducia degli utenti. È fondamentale adottare misure preventive per proteggere i propri dispositivi e dati personali:
1. I browser come Chrome e Firefox si aggiornano automaticamente. Non è necessario scaricare aggiornamenti manualmente.
2. Se si ricevono pop-up di aggiornamento software, occorre verificare sempre l’autenticità visitando il sito ufficiale del produttore.
3. Mantenere aggiornato il proprio software antivirus per rilevare e bloccare eventuali minacce.