¡Cuidado!
Las víctimas están siendo blanco de estafas de actualización que resultan ser bastante absurdas.
Investigadores en ciberseguridad de Gen Threat Labs han detectado varios sitios web que distribuyen un malware denominado WarmCookie, el cual está disfrazado como actualizaciones de software popular. Estos sitios web fueron construidos desde cero o eran legítimos en algún momento antes de ser tomados por atacantes. Según los expertos, todos estos sitios mostraban un aviso falso a los visitantes, afirmando que diferentes componentes de su computadora estaban desactualizados y requerían actualización.
Los componentes afectados incluían navegadores web, Java, VMware Workstation, WebEx y Proton VPN. Los usuarios que caían en la trampa y aceptaban la descarga terminaban instalando un backdoor llamado WarmCookie, el cual fue identificado por primera vez a mediados de 2023.
WarmCookie es particularmente peligroso, ya que tiene la capacidad de robar datos y archivos, realizar enumeraciones de programas a través del Registro de Windows, ejecutar comandos arbitrarios mediante CMD, tomar capturas de pantalla y desplegar cargas adicionales en los sistemas de las víctimas a voluntad del operador. Además, este malware puede ejecutar DLLs desde la carpeta temporal, enviar los resultados de ejecución y transferir archivos EXE y PowerShell.
Los ataques de actualizaciones falsas no son un fenómeno reciente; de hecho, han existido casi desde el inicio de internet, y se basan en engañar al visitante haciéndole creer que su computadora está en riesgo. En su forma más simple, este ataque puede presentarse como un simple aviso emergente.
Para protegerse contra estos ataques, es vital comprender cómo se comunican la mayoría de estos programas con sus usuarios y de qué manera se actualizan. Por lo general, la mayoría de los navegadores se actualizan de manera automática y no piden a los usuarios que descarguen o ejecuten archivos ejecutables. Otros programas requieren que el usuario visite la página oficial para descargar un nuevo archivo de instalación, que, en la mayoría de los casos, reemplaza la instalación existente. Tener un programa antivirus también es una medida importante de protección.
