وارمكوكي مستتر
البرامج الضارة الخلفية، مثل WARMCOOK، عبارة عن برنامج تهديد تم إنشاؤه لاستغلال نقاط ضعف الكمبيوتر، مما يسمح بالوصول والتحكم غير المصرح به. تهدف هذه البرامج إلى إنشاء نقطة دخول مخفية، تمكن المهاجمين من تنفيذ أنشطة ضارة مختلفة، بما في ذلك تثبيت برامج ضارة إضافية. في الواقع، فإن الغرض الأساسي من WAMCOOKIE هو تسهيل المزيد من الإصابات عن طريق تنزيل تهديدات البرامج الضارة للمرحلة التالية وتثبيتها على الأنظمة المعرضة للخطر.
تم التعرف على متغير البرامج الضارة هذا، المعروف باسم WARMCOOKIE، في وقت مبكر من ربيع عام 2024، ومن المحتمل أن يتم تداول إصدارات سابقة. يحذر الباحثون من أن برنامج WARMCOOKIE يتم توزيعه بشكل نشط من خلال حملات البريد الإلكتروني العشوائي المستهدفة، حيث يتم خداع المستخدمين المطمئنين لفتح مرفقات ضارة أو النقر على الروابط الاحتيالية.
مجرمو الإنترنت يخدعون الضحايا برسائل البريد الإلكتروني التصيدية
تم توزيع WARMCOOKIE من خلال حملات البريد الإلكتروني العشوائي المستهدفة التي تستخدم موضوعات متعلقة بالوظيفة لجذب المستلمين. انتحلت رسائل البريد الإلكتروني هذه صفة شركات توظيف شرعية، حيث تخاطب الضحايا بأسمائهم الحقيقية وتقدم تفاصيل مثل منصبهم الوظيفي الحالي، مما يجعلها تبدو حقيقية.
تم إغراء المستلمين بالنقر على رابط في البريد الإلكتروني، معتقدين أنه سيقودهم إلى نظام داخلي لمراجعة عرض العمل. ومع ذلك، أعاد هذا الرابط توجيههم عبر سلسلة من مواقع الويب المخترقة، والتي غالبًا ما يتم استضافتها على نطاقات ذات سمعة طيبة، مما يؤدي في النهاية إلى موقع ويب متعلق بالاحتيال.
وفي الصفحة المقصودة، التي يبدو أنها جزء من عملية التجنيد، تم تقديم معلومات شخصية للضحايا لتعزيز المصداقية. وقد طُلب منهم تنزيل مستند يتضمن تفاصيل عرض العمل، مع إجراء اختبار CAPTCHA قبل المتابعة.
بمجرد اكتمال اختبار CAPTCHA، قام الضحايا بتنزيل ملف JavaScript غامض دون قصد. قام هذا الملف بتنفيذ برنامج PowerShell النصي المصمم لإصابة الأنظمة بـ Warmcookie، وإنشاء الوصول إلى الباب الخلفي وبدء المزيد من الأنشطة الضارة.
قد يؤدي الباب الخلفي لـ WARMCOOKIE إلى تعريض الضحايا لمزيد من تهديدات البرامج الضارة
يلعب برنامج WARMCOOKIE، على الرغم من قدراته المحدودة نسبيًا، دورًا حاسمًا كبرنامج ضار خلفي من خلال توفير نقطة دخول أولية إلى الشبكات المستهدفة. مثل العديد من الأبواب الخلفية، تم تصميم WARMCOOKIE بميزات مضادة للتحليل لتجنب الاكتشاف، مثل آليات مكافحة تصحيح الأخطاء والقدرة على اكتشاف بيئات وضع الحماية. علاوة على ذلك، فهو يضمن الاستمرارية من خلال جدولة نفسه للتشغيل كل عشر دقائق، مما يسمح له بالحفاظ على السيطرة على النظام المخترق.
بمجرد الاختراق بنجاح، يبدأ WARMCOOKIE عملياته على مرحلتين. في البداية، يقوم بجمع المعلومات الأساسية من الجهاز المصاب، بما في ذلك الرقم التسلسلي لوحدة التخزين ومجال DNS واسم الجهاز واسم المستخدم. يتم بعد ذلك نقل هذه البيانات إلى خادم الأوامر والتحكم (C&C) الخاص بالمهاجمين، والذي يتم ترميزه ضمن البرامج الضارة.
في مرحلته الثانية، يواصل WARMCOOKIE جمع المعلومات، مع التركيز على استخراج تفاصيل وحدة المعالجة المركزية وعنوان IP الخاص بالضحية وقائمة شاملة من البرامج المثبتة، بما في ذلك الأسماء والإصدارات وتواريخ التثبيت.
يمتلك WARMCOOKIE القدرة على تنفيذ أوامر مختلفة على الأنظمة المصابة، مثل قراءة الملفات والتقاط لقطات الشاشة وتنزيل ملفات إضافية على الأجهزة المخترقة. وتكمن وظيفتها الأساسية في تنزيل برامج ضارة إضافية وتثبيتها، وبالتالي إدامة المزيد من الإصابات.
على الرغم من أن الأبواب الخلفية لديها من الناحية النظرية القدرة على إدخال أي نوع من البرامج الضارة إلى الأنظمة، إلا أنها تعمل عادةً ضمن قيود معينة. في حالة WARMCOOKIE، قد يؤدي ذلك إلى تثبيت فيروسات طروادة أو برامج ضارة مماثلة، مما يؤدي إلى توسيع نطاق الإصابة وتشكيل تهديدات أكبر للأنظمة المتضررة.
