Los investigadores de ciberseguridad de Gen Threat Labs han observado varios sitios web que distribuyen una parte de malware llamado WarmCookie disfrazado de actualizaciones de software popular.
Estos sitios web se crearon desde cero o fueron legítimos una vez y luego fueron adquiridos en algún momento, señalaron los expertos, pero se vio que todos mostraban una advertencia falsa a los visitantes de que diferentes componentes de su computadora estaban desactualizados y requerían actualización.
Estos eran sus navegadores web, Java, VMware Workstation, WebEx o Proton VPN, y a los visitantes que cayeron en la trampa y aceptaron la descarga se les abrió una puerta trasera llamada WarmCookie, un malware que se detectó por primera vez a mediados de 2023.
Puerta trasera WarmCookie
Los expertos han advertido que el malware puede robar datos y diferentes archivos, enumerar programas a través del Registro de Windows, ejecutar comandos arbitrarios a través de CMD, tomar capturas de pantalla y descargar cargas útiles adicionales en los puntos finales de destino, según la voluntad del operador.
Es más, WarmCookie puede ejecutar archivos DLL desde la carpeta temporal y enviar el resultado, y transferir y ejecutar archivos EXE y PowerShell.
Los ataques de actualizaciones falsas no son nada nuevo; de hecho, son tan antiguos como Internet y giran en torno a engañar al visitante haciéndole creer que su computadora está en riesgo. En su nivel más básico, el ataque no es más que una ventana emergente.
La mejor manera de defenderse de estos ataques es aprender cómo la mayoría de estos programas se comunican con sus usuarios y cómo se actualizan. La mayoría de los navegadores se actualizan automáticamente y nunca piden a sus usuarios que descarguen y ejecuten un archivo ejecutable. Otros programas normalmente requieren que el usuario visite la página de inicio oficial y descargue un nuevo archivo de instalación que, la mayoría de las veces, sobrescribe la instalación existente. Además, tener un programa antivirus ayudas instaladas.
A través de pitidocomputadora