Cookies

フランスのユーザーを狙った新たな「FakeUpdate」キャンペーンは、侵害されたウェブサイトを利用して偽のブラウザやアプリケーションのアップデートを表示し、WarmCookieバックドアの新バージョンを拡散する。

FakeUpdateは、「SocGolish」として知られる脅威グループが使用するサイバー攻撃戦略で、Webブラウザ、Java、VMware Workstation、WebEx、Proton VPNなど、さまざまなアプリケーションの偽のアップデートプロンプトを訪問者に表示するために、偽のWebサイトを侵害または作成します。

ユーザーが正規のアップデートのプロンプトをクリックすると、偽のアップデートがダウンロードされ、情報窃盗暗号通貨ドレイナー、RAT、さらにはランサムウェアなどの悪意のあるペイロードがドロップされます。

最新のキャンペーンはGen Threat Labsの研究者によって発見され、WarmCookieバックドアが偽のGoogle Chrome、Mozilla Firefox、Microsoft Edge、Javaのアップデートとして配布されていることが確認されました。

WarmCookieは、2023年半ばにeSentireによって初めて発見されたWindowsバックドアで、最近では偽の求人情報をおびき寄せるフィッシング・キャンペーンで配布されていることが確認されている。

その幅広い機能には、データやファイルの盗難、デバイスのプロファイリング、(Windowsレジストリを介した)プログラムの列挙、(CMDを介した)任意のコマンドの実行、スクリーンショットのキャプチャ、感染したシステムに追加のペイロードを導入する機能などが含まれます。

Gen Threat Labsによって発見された最新のキャンペーンでは、WarmCookieバックドアは、テンポラリフォルダからDLLを実行し、出力を送り返すだけでなく、EXEファイルやPowerShellファイルを転送して実行する機能など、新しい機能で更新されています。

感染を引き起こすために使用される誘い文句は、FakeUpdate攻撃でよく見られる偽のブラウザアップデートです。しかしGen Digitalは、このキャンペーンで偽のJavaアップデートが宣伝されているサイトも発見しました。

Fake browser and Java update prompts
偽ブラウザとJavaアップデートのプロンプト
Source

この感染チェーンは、ユーザーが偽のブラウザ更新通知をクリックすることから始まり、JavaScriptを起動させてWarmCookieインストーラを取得し、ユーザーにファイルを保存するよう促します。

Latest infection change
最新の WarmCookie 感染チェーン
出典:Gen Threat Labs:Gen Threat Labs

偽のソフトウェア・アップデートが実行されると、マルウェアはアナリストの環境で実行されていないことを確認するためにいくつかのアンチVMチェックを行い、新たに感染したシステムのフィンガープリントをコマンド・アンド・コントロール(C2)サーバーに送信し、指示を待ちます。

Gen Threat Labsによると、攻撃者はこのキャンペーンで侵害されたウェブサイトを使用しているが、「edgeupdate[.]com」や「mozilaupgrade[.]com」など、IoCセクションで共有されているドメインのいくつかは、「FakeUpdate」のテーマに一致するように特別に選択されているようだ。

Chrome、Brave、Edge、Firefox、そしてすべてのモダンブラウザは、新しいアップデートが利用可能になると自動的にアップデートされることを覚えておいてください。

ブラウザにアップデートが適用されるためには、プログラムの再起動が必要な場合がありますが、手動でアップデータパッケージをダウンロードして実行することは、実際のアップデートプロセスの一部では決してなく、危険な兆候と見なすべきです。

多くの場合、FakeUpdatesは合法的で信頼できるウェブサイトを危険にさらすため、これらのポップアップは使い慣れたプラットフォームであっても慎重に扱う必要があります。