网络犯罪分子目前正试图通过 Google Chrome、Microsoft Edge 或 Mozilla Firefox 的虚假更新来诱骗法国人。这些虚假更新允许黑客安装新的危险版本 WarmCookie 恶意软件。
Gen Threat Labs 的研究人员发现了一项恶意活动,该活动在法国的 Windows 计算机上传播后门。 WarmCookie 后门于 2023 年出现,旨在促进其他恶意软件的安装。
🚨 谨防持续的#假更新针对 FR 🇫🇷的活动!它不是浏览器更新而是传播#WarmCookie #后门通过受感染的网站。
这#WarmCookie其本身也已更新。新版本支持以下命令:
1 – 获取CPU标识和内存...pic.twitter.com/OCKVS5BtyW— Gen 威胁实验室 (@GenThreatLabs)2024 年 9 月 30 日
正如所解释的易感去年发现 WarmCookie 的公司,该恶意软件能够窃取您的个人数据、计算机上存储的所有文件,并在您不知情的情况下执行命令。在早期,该病毒被俄罗斯黑客利用,他们将虚假的工作机会植入他们的软件中。
更强大的 WarmCookie 新版本
对于 Gen Threat Labs 来说,该活动基于新版本的 WarmCookie。这个新的迭代能够采取截图,这可以让黑客窃取敏感数据。通过截取屏幕截图,网络犯罪分子可以发现您的用户名、密码甚至银行详细信息。
更广泛地说,这个 WarmCookie 功能可以让您监视您在计算机上所做的一切。黑客可以读取您的电子邮件、Messenger 对话,甚至 Zoom 上的视频通话。
此外,该病毒还会收集有关计算机硬件的信息,例如处理器类型和随机存取存储器 (RAM) 容量。此信息可用于使恶意软件的操作适应系统配置。该恶意软件还通过访问 Windows 注册表项来检索已安装程序的列表。这种策略可以帮助他了解机器上存在的软件,以便利用其可能的漏洞。
然后,恶意软件会在计算机上创建一个文件来存储恶意数据或稍后安装其他恶意软件。数据显然在网络攻击期间传输到远程服务器。最后,WarmCookie 将自身复制到 Windows 临时文件夹,以便能够承受系统重新启动。
虚假更新的地狱
为了将后门植入受害者的计算机,网络犯罪分子会使用流行浏览器的虚假更新,例如谷歌浏览器,火狐浏览器和微软边缘。专家还在虚假的 Java 更新中发现了该病毒。互联网用户在浏览网页时,会突然受到弹出窗口的轰炸。这些窗口有时会占据整个屏幕,因此必须更新网络浏览器。我们都遇到过这种恼人的广告,尤其是在可疑的网站上。
这是经典的诱惑被犯罪分子利用。这种感染策略称为 FakeUpdate 或 ScreenLocker。一旦用户点击虚假通知,他们就会被重定向到模仿更新过程的页面。屏幕偶尔会被虚假更新过程锁定。无法访问他的计算机。与此同时,恶意软件会在后台安装。
在这种情况下,单击窗口会激活 JavaScript 脚本,将 WarmCookie 直接下载到计算机。然后黑客要求受害者保存文件在他的电脑上。毫不奇怪,该文件的命名是为了消除目标的怀疑。
该活动正在法国如火如荼地进行
大多数用户都知道这是一个陷阱,不应予以考虑。然而,经验不足的互联网用户,例如老年人,仍然可能落入陷阱。据 Gen Threat Labs 称,WarmCookie 目前的目标是法国的互联网用户。因此,我们建议您格外小心,最重要的是,不要单击提示您安装更新的窗口。提醒一下,一旦有新版本可用,所有浏览器(例如 Chrome、Edge 和 Firefox)都会自动更新。
