Chrome, Firefox, Edge : WarmCookie fait son come-back derrière de fausses mises à jour

S’il n’a pas réussi à vous recruter cet été, attention de ne pas vous faire avoir avec cette nouvelle campagne de diffusion plutôt sournoise, et très active en France.

Le voilà de retour, pour vous jouer un mauvais tour. Après avoir tenté d’infecter vos machines via la diffusion d’offres d’emploi estivales particulièrement alléchantes, WarmCookie fait à nouveau parler de lui, quelques semaines après la rentrée. Mais cette fois-ci, pas besoin de mettre à jour votre CV. Le cheval de Troie a peaufiné sa méthode, et se cache désormais derrière de fausses mises à jour de navigateurs grand public.

WarmCookie 2.0 : une méthode de diffusion revisitée

Repérée par les équipes de sécurité de Gen Digital, WarmCookie ne chôme pas. Le malware, découvert pour la première fois en 2023 et très actif cet été, continue d’infecter les ordinateurs Windows. Mais alors que la précédente tentative de propagation impliquait des méthodes de phishing via des offres d’emploi séduisantes, conduisant les internautes à cliquer sur un captcha vérolé, la nouvelle campagne change un peu les règles du jeu. Actuellement, WarmCookie se sert de fausses mises à jour de programmes légitimes pour s’infiltrer sur les PC dont les propriétaires n’auraient pas été suffisamment attentifs.

D’après Gen Digital, ces updates factices concernent essentiellement les navigateurs les plus populaires : Google Chrome, Mozilla Firefox et Microsoft Edge. Java est également concerné.

Dans le détail, WarmCookie se cache derrière une fausse page web plus vraie que nature, vous invitant à mettre à jour l’une de ces quatre applications. Naturellement, cliquer sur le bouton d’installation télécharge le malware, et non une version officielle du logiciel que vous pensiez mettre à niveau. Le cheval de Troie est d’ailleurs plutôt malin puisqu’une fois exécuté sur le système, il procède à des vérifications d’environnement pour s’assurer qu’il n’a pas été récupéré sur une VM.

De nouvelles fonctions et davantage de dégâts

Le trojan ouvre ensuite une porte dérobée par laquelle il exfiltre l’empreinte numérique du système infecté, ainsi que des données et fichiers localisés sur votre PC. Il est aussi capable d’exécuter des commandes à distance via l’invite CMD, de réaliser des captures d’écran et d’injecter des payloads (charges utiles) additionnelles.

La méthode de diffusion n’est pas le seul élément nouveau de cette campagne automnal. Les équipes de Gen Digital ont également alerté sur l’intégration de fonctionnalités inédites à WarmCookie, désormais en mesure d’exécuter des DLL depuis le répertoire de fichiers temporaires. À noter qu’il peut aussi exécuter des fichiers EXE et PowerShell.

Alors, comment s’en prémunir ? Tout simplement en suivant les règles d’usage habituelles. N’oubliez jamais que les navigateurs web intègrent leur propre système de mise à jour, et ne vous demandent jamais de télécharger un nouvel exécutable d’update.

Lorsque vous récupérez des fichiers sur des sites web légitimes en apparence, contrôlez toujours la pertinence de l’URL et du lien de téléchargement. Dans le cas de WarmCookie, la composition (et l’orthographe) des adresses laisse peu de place au doute.

Enfin, prenez soin de ne jamais désactiver Microsoft Defender. Un antivirus complémentaire peut également s’avérer utile si jamais la charge malveillante est trop récente pour pouvoir être détectée par la solution de sécurité native à Windows.

Source : Gen Digital via X.com