Pozor! Šíri sa falošná aktualizácia pre Chrome a ďalšie prehliadače. Do zariadenia ti nahrá vírus WarmCookie
Bezpečnostní experti opäť pozorujú malvér WarmCookie, ktorý vyčíňal ešte minulý rok. Na toto si dávaj pozor, inak sa staneš obeťou aj ty.
Bezpečnostní experti pozorovali v online sfére novú hackerskú kampaň, ktorá používa niekoľko napadnutých webových stránok na šírenie falošných aktualizácií prehliadača. Cez ne sa šíri malvér FakeUpdate, informuje Bleeping Computer.
Za týmto útokom stojí s najväčšou pravdepodobnosťou hackerská skupina SocGolish. Tá sa vyznačuje tým, že buď vytvára podvodné webové stránky alebo napáda už existujúce stránky. Cez ne následne návštevníkom ukazuje falošné upozornenia, ktoré prezentujú užívateľom falošné aktualizácie pre rôzne aplikácie, napríklad webový prehliadač, Javu, WebEx alebo Proton VPN.
Tieto upozornenia sa javia ako legitímne a po kliknutí na ne sa do zariadenia užívateľa stiahnu škodlivé súbory. Bezpečnostní analytici zatiaľ pozorovali, že cez tieto falošné aktualizácie sa šíria infostealery, malvér na kradnutie kryptomien, RAT trójske kone a v niektorých prípadoch aj ransomware.
Počas najnovších útokov analytici pozorovali šírenie malvéru WarmCookie, čo je škodlivý softvér na vytvorenie takzvaných zadných dvierok, teda opätovného prístupu do napadnutého zariadenia. Tento malvér sa šíri cez falošné aktualizácie zamerané na najpoužívanejšie prehliadače, teda Chrome, Firefox a Edge. Popri tom sa šíri aj ako falošná aktualizácia na Javu.
Malvér vyčíňal už v minulosti
WarmCookie nie je novinkou vo svete malvéru. Po prvýkrát ho bezpečnostní analytici objavili uprostred roka 2023. Vtedy sa šíril cez phishing, ktorý užívateľom ponúkal falošné pracovné ponuky. Malvér WarmCookie sa zameriava na Windows zariadenia.
Neprehliadni
Tento malvér dokáže kradnúť užívateľské dáta a súbory, zachytávať snímku obrazovky, vykonávať jednoduché príkazy alebo zistiť, aké programy má užívateľ v počítači nainštalované. Hoci malvér po prvýkrát výskumníci spozorovali v roku 2023, v rámci novej kampane ide o vylepšenú verziu, ktorá ponúka oproti predchodcovi niekoľko dodatočných funkcií. Jednou je spúšťanie DLL súborov z temp priečinka, plus prenášanie a spúšťanie EXE a PowerShell súborov.
Ako sme už spomenuli, malvér si obete získava falošnými vyskakovacími oknami, ktoré prezentujú užívateľovi aktualizáciu pre jeden z najpoužívanejších prehliadačov. Môže ísť o prehliadač Google Chrome, Mozilla Firefox alebo Microsoft Edge, podľa toho, aký prehliadač obeť používa. Toto upozornenie vyzerá realisticky a veľmi rýchlo dokáže obeť pomýliť a presvedčiť ju, že prehliadač skutočne potrebuje aktualizáciu.
Po kliknutí na toto falošné okno sa spúšťa JavaScript, ktorý získa inštalátor pre malvér WarmCookie a požiada užívateľa, aby tento súbor do počítača stiahol. Keď užívateľ začne malvér inštalovať, ako prvé skontroluje škodlivý súbor, či sa náhodou nenachádza v prostredí virtuálneho zariadenia. Ide o “operačný systém v operačnom systéme”, ktorý najčastejšie využívajú bezpečnostní analytici na študovanie malvéru. Virtuálne zariadenia zabraňujú tomu, aby malvér infikoval skutočné súbory počítača.
Následne malvér posiela detaily o infikovanom zariadení na command and control server hackera a čaká na ďalšie príkazy. Po inštalácií malvér kradne dáta, zachytáva snímky obrazovky a dokáže vykonávať príkazy na diaľku. Tento útok môže hackerskej skupine poskytnúť napríklad tvoje prihlasovacie údaje alebo iné citlivé informácie. Tieto informácie hackeri buď predajú ďalej alebo ich zneužijú pri ďalších útokoch.
Ako sa chrániť?
Hoci falošné upozornenia na aktualizácie vyzerajú presvedčivo, stačí mať na pamäti len jednu vec, aby si sa dokázal pred týmto malvérom efektívne chrániť. Všetky moderné prehliadače, či už ide o Chrome, Firefox, Edge, Operu alebo Brave, sa aktualizujú automaticky zakaždým, keď majú k dispozícii novú aktualizáciu. Nevyžaduje sa od teba teda to, aby si klikal na vyskakovacie okná a manuálne sťahoval novú aktualizáciu z internetu.
Niekedy sa vyžaduje, aby si reštartoval prehliadač, aby sa nová aktualizácia kompletne nainštalovala. To ale zahŕňa len to, aby si klikol na tlačidlo vypnúť a následne opäť zapol prehliadač. Akákoľvek stránka, ktorá ti ponúka možnosť manuálneho stiahnutia najnovšej aktualizácia pre prehliadač, je teda podvod a nemal by si nič z tejto stránky sťahovať do svojho PC.
Komentáre