網路犯罪分子目前正試圖透過 Google Chrome、Microsoft Edge 或 Mozilla Firefox 的虛假更新來誘騙法國人。這些虛假更新允許駭客安裝新的危險版本 WarmCookie 惡意軟體。
Gen Threat Labs 的研究人員發現了一項惡意活動,該活動在法國的 Windows 電腦上傳播後門。 WarmCookie 後門於 2023 年出現,旨在促進其他惡意軟體的安裝。
🚨 小心持續的#假更新針對 FR 🇫🇷的活動!它不是瀏覽器更新而是傳播#WarmCookie #後門透過受感染的網站。
這#WarmCookie其本身也已更新。新版本支援以下命令:
1 – 取得CPU標識和記憶體...pic.twitter.com/OCKVS5BtyW— Gen 威脅實驗室 (@GenThreatLabs)2024 年 9 月 30 日
正如所解釋的易感去年發現 WarmCookie 的公司,該惡意軟體能夠竊取您的個人資料、電腦上儲存的所有文件,並在您不知情的情況下執行命令。在早期,該病毒被俄羅斯駭客利用,他們將虛假的工作機會植入他們的軟體中。
更強大的 WarmCookie 新版本
對於 Gen Threat Labs 來說,該活動基於新版本的 WarmCookie。這個新的迭代能夠採取截圖,這可以讓駭客竊取敏感資料。透過截取螢幕截圖,網路犯罪分子可以發現您的使用者名稱、密碼甚至銀行詳細資訊。
更廣泛地說,這個 WarmCookie 功能可以讓您監視您在電腦上所做的一切。駭客可以讀取您的電子郵件、Messenger 對話,甚至 Zoom 上的視訊通話。
此外,該病毒還會收集有關電腦硬體的信息,例如處理器類型和隨機存取記憶體 (RAM) 容量。此資訊可用於使惡意軟體的操作適應系統配置。該惡意軟體還透過存取 Windows 登錄項目來檢索已安裝程式的清單。這種策略可以幫助他了解機器上存在的軟體,以便利用其可能的漏洞。
然後,惡意軟體會在電腦上建立一個檔案來儲存惡意資料或稍後安裝其他惡意軟體。數據顯然在網路攻擊期間傳輸到遠端伺服器。最後,WarmCookie 將自身複製到 Windows 暫存資料夾,以便能夠承受系統重新啟動。
虛假更新的地獄
為了將後門植入受害者的計算機,網路犯罪分子會使用流行瀏覽器的虛假更新,例如谷歌瀏覽器,火狐瀏覽器和微軟邊緣。專家還在虛假的 Java 更新中發現了該病毒。網路使用者在瀏覽網頁時,會突然受到彈出視窗的轟炸。這些視窗有時會佔據整個螢幕,因此必須更新網頁瀏覽器。我們都曾經遇過這種惱人的廣告,尤其是在可疑的網站上。
這是經典的誘惑被犯罪者利用。這種感染策略稱為 FakeUpdate 或 ScreenLocker。一旦使用者點擊虛假通知,他們就會被重新導向到模仿更新過程的頁面。螢幕偶爾會被虛假更新過程鎖定。無法存取他的電腦。同時,惡意軟體會在背景安裝。
在這種情況下,按一下視窗會啟動 JavaScript 腳本,將 WarmCookie 直接下載到電腦。然後駭客要求受害者保存文件在他的電腦上。毫不奇怪,該文件的命名是為了消除目標的懷疑。
該活動正在法國如火如荼地進行
大多數用戶都知道這是一個陷阱,不應考慮。然而,經驗不足的網路用戶,例如老年人,仍然可能落入陷阱。據 Gen Threat Labs 稱,WarmCookie 目前的目標是法國的網路使用者。因此,我們建議您格外小心,最重要的是,不要按一下提示您安裝更新的視窗。提醒一下,一旦有新版本可用,所有瀏覽器(例如 Chrome、Edge 和 Firefox)都會自動更新。