ขณะนี้อาชญากรไซเบอร์กำลังพยายามดักจับชาวฝรั่งเศสด้วยการอัปเดตอันเป็นเท็จใน Google Chrome, Microsoft Edge หรือ Mozilla Firefox การอัปเดตปลอมเหล่านี้ทำให้แฮกเกอร์สามารถติดตั้งมัลแวร์ WarmCookie เวอร์ชันใหม่ที่เป็นอันตรายได้
นักวิจัย Gen Threat Labs ค้นพบแคมเปญที่เป็นอันตรายซึ่งแพร่กระจายแบ็คดอร์บนคอมพิวเตอร์ Windows ในฝรั่งเศส ประตูหลัง WarmCookie ซึ่งจะปรากฏในปี 2023 ได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการติดตั้งมัลแวร์อื่นๆ
🚨 ระวังการดำเนินการต่อเนื่อง#อัพเดตปลอมแคมเปญกำหนดเป้าหมาย FR 🇫🇷! แทนที่จะอัปเดตเบราว์เซอร์ มันแพร่กระจาย#วอร์มคุกกี้ #ลับๆผ่านเว็บไซต์ที่ถูกบุกรุก
ที่#วอร์มคุกกี้เองก็ได้รับการปรับปรุงเช่นกัน เวอร์ชันใหม่รองรับคำสั่งเหล่านี้:
1 – รับการระบุ CPU และหน่วยความจำ...pic.twitter.com/OCKVS5BtyW— Gen Threat Labs (@GenThreatLabs)30 กันยายน 2024
ตามที่อธิบายไว้อีฟีลบริษัทที่อยู่เบื้องหลังการค้นพบ WarmCookie เมื่อปีที่แล้ว มัลแวร์สามารถขโมยข้อมูลส่วนบุคคลของคุณ ไฟล์ทั้งหมดที่จัดเก็บไว้ในคอมพิวเตอร์ และดำเนินการคำสั่งโดยที่คุณไม่รู้ ในช่วงแรกๆ แฮกเกอร์ชาวรัสเซียใช้ประโยชน์จากไวรัส ซึ่งส่งข้อเสนองานปลอมมาสู่ซอฟต์แวร์ของพวกเขา
อ่านเพิ่มเติม:มัลแวร์ Android “ส่อเสียด” ต้องการโจมตีคุณด้วยโฆษณาที่ล่วงล้ำ
WarmCookie เวอร์ชันใหม่ที่น่าเกรงขามยิ่งขึ้น
สำหรับ Gen Threat Labs แคมเปญนี้อิงจาก WarmCookie เวอร์ชันใหม่ การทำซ้ำใหม่นี้สามารถทำได้ภาพหน้าจอซึ่งสามารถอนุญาตให้แฮกเกอร์ขโมยข้อมูลที่ละเอียดอ่อนได้ ด้วยการจับภาพหน้าจอ อาชญากรไซเบอร์สามารถค้นพบชื่อผู้ใช้ รหัสผ่าน หรือแม้แต่รายละเอียดทางธนาคารของคุณได้
ฟังก์ชัน WarmCookie นี้ช่วยให้คุณสามารถสอดแนมทุกสิ่งที่คุณทำบนคอมพิวเตอร์ของคุณได้ แฮกเกอร์สามารถอ่านอีเมล การสนทนาใน Messenger ของคุณ หรือแม้แต่แฮงเอาท์วิดีโอของคุณบน Zoom
นอกจากนี้ ไวรัสยังรวบรวมข้อมูลเกี่ยวกับฮาร์ดแวร์ของคอมพิวเตอร์ เช่น ประเภทของโปรเซสเซอร์และจำนวนหน่วยความจำเข้าถึงโดยสุ่ม (RAM) ข้อมูลนี้สามารถใช้เพื่อปรับการกระทำของมัลแวร์ให้เข้ากับการกำหนดค่าระบบ มัลแวร์ยังดึงรายการโปรแกรมที่ติดตั้งโดยการเข้าถึงรายการรีจิสทรีของ Windows กลยุทธ์นี้ช่วยให้เขาทราบซอฟต์แวร์ที่มีอยู่ในเครื่องเพื่อใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นได้
จากนั้นมัลแวร์จะสร้างไฟล์บนคอมพิวเตอร์เพื่อจัดเก็บข้อมูลที่เป็นอันตรายหรือติดตั้งมัลแวร์อื่น ๆ ในภายหลัง ข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลอย่างชัดเจนระหว่างการโจมตีทางไซเบอร์ สุดท้าย WarmCookie จะคัดลอกตัวเองไปยังโฟลเดอร์ชั่วคราวของ Windows เพื่อให้สามารถทนต่อการรีสตาร์ทระบบได้
นรกของการอัปเดตปลอม
เพื่อส่งแบ็คดอร์เข้าสู่คอมพิวเตอร์ของเหยื่อ อาชญากรไซเบอร์จึงใช้การอัปเดตปลอมสำหรับเบราว์เซอร์ยอดนิยม เช่นกูเกิลโครม-มอซซิลา ไฟร์ฟอกซ์และไมโครซอฟต์เอดจ์ ผู้เชี่ยวชาญยังพบไวรัสในการอัพเดต Java ปลอมอีกด้วย ขณะท่องเว็บ ผู้ใช้อินเทอร์เน็ตจะถูกโจมตีด้วยหน้าต่างป๊อปอัปทันที บางครั้งหน้าต่างเหล่านี้อาจกินพื้นที่ทั้งหน้าจอ และทำให้จำเป็นต้องอัปเดตเว็บเบราว์เซอร์ เราทุกคนเคยเจอโฆษณาประเภทนี้ที่น่ารำคาญ โดยเฉพาะบนเว็บไซต์ที่น่าสงสัย
มันคือล่อแบบคลาสสิกถูกใช้โดยอาชญากร กลยุทธ์การติดเชื้อนี้เรียกว่า FakeUpdate หรือ ScreenLocker เมื่อผู้ใช้คลิกที่การแจ้งเตือนปลอม พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าที่เลียนแบบกระบวนการอัปเดต หน้าจอบางครั้งถูกล็อคโดยกระบวนการอัพเดตปลอม ไม่สามารถเข้าถึงคอมพิวเตอร์ของเขาได้ ในขณะเดียวกันก็มีการติดตั้งมัลแวร์ในเบื้องหลัง
ในกรณีนี้ การคลิกที่หน้าต่างจะเปิดใช้งานสคริปต์ JavaScript ที่ดาวน์โหลด WarmCookie ลงในเครื่องโดยตรง แฮกเกอร์ขอให้เหยื่อบันทึกไฟล์บนคอมพิวเตอร์ของเขา ไม่น่าแปลกใจเลยที่ไฟล์นี้ถูกตั้งชื่อเพื่อขจัดความสงสัยของเป้าหมาย
แคมเปญนี้กำลังดำเนินไปอย่างเต็มรูปแบบในฝรั่งเศส
ผู้ใช้ส่วนใหญ่ทราบดีว่านี่เป็นกับดักและไม่ควรนำมาพิจารณา อย่างไรก็ตาม ผู้ใช้อินเทอร์เน็ตที่มีประสบการณ์น้อย เช่น ผู้สูงอายุ ยังคงตกหลุมพรางได้ ตามรายงานของ Gen Threat Labs ขณะนี้ WarmCookie กำลังกำหนดเป้าหมายอยู่ผู้ใช้อินเทอร์เน็ตในฝรั่งเศส- ดังนั้น เราขอแนะนำให้คุณใช้ความระมัดระวังเป็นพิเศษ และเหนือสิ่งอื่นใด อย่าคลิกบนหน้าต่างที่แจ้งให้คุณติดตั้งการอัปเดต โปรดทราบว่าเบราว์เซอร์ทั้งหมด เช่น Chrome, Edge และ Firefox จะอัปเดตโดยอัตโนมัติทันทีที่มีเวอร์ชันใหม่
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
