Ψεύτικες ενημερώσεις browser διανέμουν trojans απομακρυσμένης πρόσβασης (RAT) και malware κλοπής πληροφοριών όπως το BitRAT και το Lumma Stealer (γνωστό και ως LummaC2).
Σύμφωνα με την εταιρεία κυβερνοασφάλειας eSentire, η επίθεση ξεκινά όταν οι υποψήφιοι στόχοι επισκέπτονται έναν κακόβουλο ιστότοπο που περιέχει κώδικα JavaScript και έχει σχεδιαστεί για να ανακατευθύνει τους χρήστες σε μια ψεύτικη σελίδα ενημέρωσης browser (“chatgpt-app[.]cloud”).
Η σελίδα είναι ενσωματωμένη σε έναν σύνδεσμο λήψης προς ένα ZIP archive file (“Update.zip”), που φιλοξενείται στο Discord και γίνεται αυτόματα λήψη στη συσκευή του θύματος.
Δείτε επίσης: Το Android banking trojan Antidot εμφανίζεται σαν ενημέρωση του Google Play
Στο ZIP archive file υπάρχει ένα άλλο αρχείο JavaScript (“Update.js”), το οποίο ενεργοποιεί την εκτέλεση PowerShell scripts που μπορούν να ανακτήσουν πρόσθετα κακόβουλα payloads, συμπεριλαμβανομένων των BitRAT και Lumma Stealer malware. Η λήψη γίνεται από έναν απομακρυσμένο διακομιστή με τη μορφή αρχείων εικόνας PNG.
Με τον ίδιο τρόπο, ανακτώνται και PowerShell scripts για τη διασφάλιση του persistence στα συστήματα των στόχων, καθώς και ένα .NET-based loader που χρησιμοποιείται κυρίως για την εκκίνηση του τελικού malware.
Το BitRAT malware είναι ένα RAT με πολλά και επικίνδυνα χαρακτηριστικά, που επιτρέπει στους εισβολείς να συλλέγουν δεδομένα, να κλέβουν crypto, να κατεβάζουν περισσότερα binaries και να ελέγχουν εξ αποστάσεως τους μολυσμένους κεντρικούς υπολογιστές. Το Lumma Stealer είναι ένα malware κλοπής δεδομένων, που προσφέρει τη δυνατότητα λήψης πληροφοριών από προγράμματα περιήγησης, πορτοφόλια crypto και άλλες ευαίσθητες λεπτομέρειες.
Δείτε επίσης: Lumma Stealer malware: Διανέμεται μέσω βίντεο στο YouTube
“Το δέλεαρ με τις ψεύτικες ενημερώσεις browser έχει γίνει κοινό μεταξύ των εισβολέων, για την είσοδο σε μια συσκευή ή ένα δίκτυο“, είπε η eSentire, προσθέτοντας ότι “εμφανίζει την ικανότητα του χειριστή να χρησιμοποιεί αξιόπιστα ονόματα για να μεγιστοποιήσει την προσέγγιση και τον αντίκτυπο“.
Ενώ τέτοιες επιθέσεις συνήθως αξιοποιούν drive-by downloads και τεχνικές κακόβουλης διαφήμισης, η ReliaQuest είπε ότι ανακάλυψε μια νέα παραλλαγή της καμπάνιας ClearFake που εξαπατά τους χρήστες να αντιγράψουν, να επικολλήσουν και να εκτελέσουν κακόβουλο κώδικα PowerShell με το πρόσχημα μιας ενημέρωσης browser.
Συγκεκριμένα, ο κακόβουλος ιστότοπος ισχυρίζεται ότι “κάτι πήγε στραβά κατά την εμφάνιση αυτής της ιστοσελίδας” και καθοδηγεί τον επισκέπτη να εγκαταστήσει ένα root certificate για την αντιμετώπιση του προβλήματος. Ο χρήστης πρέπει να ακολουθήσει μια διαδικασία μερικών βημάτων, τα οποία περιλαμβάνουν την αντιγραφή obfuscated PowerShell code και την εκτέλεσή του σε ένα PowerShell terminal.
“Κατά την εκτέλεση, ο κώδικας PowerShell εκτελεί πολλαπλές λειτουργίες, συμπεριλαμβανομένης της εκκαθάρισης της κρυφής μνήμης DNS, της εμφάνισης ενός πλαισίου μηνύματος, της λήψης περαιτέρω κώδικα PowerShell και της εγκατάστασης του Lumma Stealer malware“, δήλωσε η εταιρεία.
Σύμφωνα με πληροφορίες που κοινοποίησε η εταιρεία κυβερνοασφάλειας, το Lumma Stealer ήταν ένα από τα πιο διαδεδομένα info-stealers το 2023, μαζί με τα RedLine και Raccoon.
Δείτε επίσης: Lumma: Μπορεί να αποκαταστήσει ληγμένα Google auth cookies
Για την προστασία από ψεύτικες ενημερώσεις browser και μολύνσεις από malware (π.χ. BitRAT και Lumma Stealer), είναι σημαντικό για τα άτομα και τις επιχειρήσεις να εφαρμόζουν ισχυρά μέτρα ασφάλειας στον κυβερνοχώρο. Αυτό περιλαμβάνει την τακτική ενημέρωση λογισμικού από αξιόπιστες πηγές, τη χρήση αξιόπιστου λογισμικού προστασίας από ιούς και την εφαρμογών συνηθειών ασφαλούς περιήγησης, όπως η αποφυγή ύποπτων ιστότοπων και η αποφυγή κλικ σε συνδέσμους ή συνημμένα από άγνωστες πηγές.
Είναι επίσης σημαντικό να εκπαιδεύεται κανείς σχετικά με αυτούς τους τύπους απειλών και να ενημερώνεται για τις τελευταίες εξελίξεις στην ασφάλεια στον κυβερνοχώρο. Αυτό μπορεί να βοηθήσει τα άτομα και τις επιχειρήσεις να παραμείνουν μπροστά από πιθανές επιθέσεις και να λάβουν τις απαραίτητες προφυλάξεις για να προστατευθούν.
Οι ψεύτικες ενημερώσεις browser αποτελούν πλέον μια συχνή ανησυχία στον κόσμο της κυβερνοασφάλειας και είναι σημαντικό για τους χρήστες να είναι προσεκτικοί όταν συναντούν αιτήματα για ενημερώσεις λογισμικού. Σκεφτείτε πάντα δύο φορές πριν κάνετε λήψη οποιωνδήποτε ενημερώσεων και να έχετε πάντα στο νου σας την προστασία των συσκευών και των προσωπικών σας στοιχείων.
Πηγή: thehackernews.com
