Weet u zeker dat uw browser up-to-date is?

Volgens het onderzoek gebruikt TA569 al meer dan vijf jaar neppe browserupdates om SocGolish-malware te leveren. En in recente jaren kopiëren ook andere cybercriminelen dit patroon. Elke cybercrimineel gebruikt social engineering in combinatie met hun eigen methoden om een lokmiddel en payload te leveren. Het gebruik van neppe browserupdates is uniek, omdat het misbruikt maakt van het vertrouwen dat gebruikers hebben in hun browser en in websites die ze vaak bezoeken. 

Cybercriminelen die de neppe browserupdates uitvoeren, gebruiken JavaScript of HTML-code om slachtoffers om te leiden naar een domein dat zij zelf onder controle hebben. Deze code kan de webpagina overschrijven met een valse browserupdate die past bij de webbrowser die het slachtoffer gebruikt. Vervolgens wordt automatisch een schadelijke payload gedownload, of wordt de gebruiker gevraagd om een ‘browserupdate’ te downloaden die de payload levert. 

De afleiding en efficiëntie van nep-browserupdates 

Het lokken met neppe browserupdates werkt, omdat cybercriminelen de beveiligingstraining van gebruikers misbruiken. Gebruikers leren om alleen updates te accepteren en op links te klikken van betrouwbare websites, en om te controleren of de websites legitiem zijn. De neppe updates misbruiken dit, door het compromitteren van vertrouwde sites. Ze gebruiken JavaScript voor het uitvoeren van controles op de achtergrond en om de bestaande website over te schrijven met een browserupdate-lokmiddel. Voor een gebruiker lijkt dit steeds dezelfde website die hen vraagt een update uit te voeren. 

Campagnes

Het huidige landschap omvat vier verschillende dreigingsclusters die unieke campagnes gebruiken voor neppe browserupdates. Elke campagne verloopt in drie verschillende fasen: 

 

• Fase 1: verwijst naar de schadelijke bewegingen op een legitieme, maar gecompromitteerde website
• Fase 2: verwijst naar het verkeer dat vertrekt van en zich begeeft naar het domein van de cybercriminelen. Hier voeren cybercriminelen een groot deel van het filterwerk uit, en verspreiden ze het lokmiddel en de schadelijke payload.  
• Fase 3: verwijst naar de realisering van de schadelijke payload bij de gebruiker.  

SocGholish

SocGholish is de belangrijkste dreiging waar mensen aan denken wanneer zij het hebben over het lokken met neppe browserupdates. Deze dreiging is door de jaren heen goed gedocumenteerd. Proofpoint schrijft SocGholish-campagnes toe aan dreigingsactor TA569 en observeerde hierbij dat TA569 optreedt als verspreider voor andere dreigingsactoren. Momenteel gebruikt SocGholish drie verschillende methodes om het verkeer van de in fase één gecompromitteerde websites naar de geschaduwde domeinen – onder controle van cybercriminelen – naar fase twee te sturen.  

De verschillende infiltratiepunten maakt het moeilijk voor verdedigers om de locatie te achterhalen en om het verkeer te reproduceren door de verschillende fases van filtering.  

Figuur 1. SocGholish neppe update die een Chrome-update nabootst. 

RogueRaticate/FakeSG

De tweede neppe browserupdate, die in mei 2023 werd geïdentificeerd door Proofpoint, is RogueRaticate of FakeSG. Externe onderzoekers beschouwen het als een kopie van de bestaande en omvangrijke SocGholish-campagnes. De activiteit werd in November 2022 voor het eerst waargenomen. Proofpoint schrijft RogueRaticate activiteit niet toe aan een dreigingsactor en onderscheidt deze duidelijk van SocGholish campagnes.  

Figuur 2. Voorbeeld van een RogueRaticate neppe update die een Chrome update spoofen.  

ZPHP/SmartApeSG

Proofpoint identificeerde een nieuw cluster van valse -browserupdatecampagnes in juni 2023, namelijk NetSupport RAT. In Augustus 2023 rapporteerde Trellix voor het eerst activiteit en kreeg in documentatie van Proofpoint de naam ZPHP of SmartApeSG. Proofpoint wijst ZPHP-activiteit momenteel niet toe aan een dreigingsactor met een TA-nummer referentie.  

Figuur 3. Voorbeeld van ZPHP-spoofing dat een Chrome update nabootst. 

ClearFake

In augustus 2023 publiceerden externe onderzoekers details over de neppe browserupdate ClearFake. Vervolgens identificeerde Proofpoint consistente campagnes van dit cluster en observeerde het een reeks veranderingen in de tijd dat het cluster werd gemonitord. Proofpoint nam waar dat ClearFake de nep-browserupdates weergeeft in de talen die overeenkomen met de ingestelde taal van de browser, waaronder Frans, Duits, Portugees en Spaans. Proofpoint wijst activiteiten van ClearFake niet toe aan een dreigingsactor met een TA-referentie.  

Figuur 4. Voorbeeld van ClearFake spoofing dat een Chrome update nabootst.  

Conclusie

Proofpoint observeerde een toename in dreigingsactiviteiten van neppe browserupdates met als doel schadelijke malware te verspreiden zoals payloads. SocGholish en TA569 toonden aan dat het in gevaar brengen van kwetsbare websites om neppe browserupdates weer te geven, een efficiënte methode is om malware te verspreiden. Andere cybercriminelen hebben geleerd van TA569 en gebruiken dit lokmiddel op hun eigen manier. Deze copycats maken momenteel gebruik van informatiedieven en RAT's, maar kunnen ook gemakkelijk overstappen op een tussenpersoon die de eerste toegang verschaft tot ransomware.