Ως νέα τακτική οι hackers χρησιμοποιούν sites που έχουν χακαριστεί για να προωθούν ψεύτικα browser updates για να μολύνουν τους επίδοξους στόχους με τραπεζικά trojans. Πολλές φορές, τα εργαλεία του hacking χρησιμοποιούνται για να εισάγουν ransomware σε μολυσμένο δίκτυο.
Από το Μάιο έως το Σεπτέμβριο του 2019, η FireEye έχει εντοπίσει πολλές περιπτώσεις όπου πελάτες μεγάλων επιχειρήσεων έχουν μολυνθεί από malware μέσω fake updates του browser.
Στην πράξη αυτά τα sites προειδοποιούν τους χρήστες ότι χρησιμοποιούν παλιά έκδοση του browser και τους παρακινούν να κατεβάσουν ένα προσφερόμενο update για να συνεχίσουν την περιήγησή τους με άνεση και ασφάλεια. Όταν ο χρήστης επιλέξει να κάνει την ενημέρωση, το site θα κατεβάσει είτε μια εφαρμογή HTML (HTA), είτε JavaScript ή αρχεία Zip.
Με την εκτέλεση του αρχείου, θα γίνει η εισαγωγή ενός κακόβουλου script που θα συλλέγει πληροφορίες του υπολογιστή και θα της αποστέλλει στον server του hacker. Στη συνέχεια, ο server θα απαντήσει με ένα άλλο script για να πραγματοποιήσει λήψη και εγκατάσταση malware. Όπως ανέφεραν οι ερευνητές της FireEye, έχουν παρατηρηθεί malware όπως τα Dridex, NetSupport Manager, AZORult, ή Chthonic που εγκαθίστανται στις μηχανές του θύματος. Επιπλέον, το script θα τραβήξει δύο στιγμιότυπα της τρέχουσας επιφάνειας εργασίας, τα οποία και γίνονται uploaded στο C2.
Με τη συλλογή των πολύτιμων δεδομένων από τα τραπεζικά trojans, οι hackers εκτελούν μια τελική επίθεση ransomware όπως το DoppelPaymer ή το BitPaymer σε όλο το δίκτυο του οργανισμού χρησιμοποιώντας το PSExec. Και τα δύο ransomware είναι γνωστά για το ότι μπορούν να εκμεταλλευτούν πολλά διαφορετικά computers σε ένα δίκτυο. Το DoppelPaymer συγκεκριμένα έχει γίνει γνωστό ότι απαιτεί λύτρα που φτάνουν έως 2 εκατομμύρια δολάρια.
