WARMCOOKIE Backdoor

Злонамереният софтуер със задна вратичка, като WARMCOOK, е заплашителен софтуер, създаден да използва компютърни уязвимости, позволявайки неоторизиран достъп и контрол. Тези програми имат за цел да създадат скрита входна точка, позволяваща на нападателите да извършват различни вредни дейности, включително инсталирането на допълнителен зловреден софтуер. Всъщност основната цел на WAMCOOKIE е да улесни по-нататъшни инфекции чрез изтегляне и инсталиране на заплахи от злонамерен софтуер на следващия етап върху компрометирани системи.

Този вариант на зловреден софтуер, известен като WARMCOOKIE, е идентифициран още през пролетта на 2024 г., с потенциално дори по-ранни версии в обращение. Изследователите предупреждават, че WARMCOOKIE се разпространява активно чрез целенасочени кампании за спам по имейл, където нищо неподозиращите потребители са подмамени да отворят злонамерени прикачени файлове или да кликнат върху измамни връзки.

Киберпрестъпниците подмамват жертвите с фишинг имейли

WARMCOOKIE се разпространява чрез целенасочени спам имейл кампании, които използват теми, свързани с работата, за да привлекат получатели. Тези имейли се представят за законни фирми за набиране на персонал, обръщайки се към жертвите с истинските им имена и предоставяйки подробности като текущата им работна позиция, което ги кара да изглеждат автентични.

Получателите са били примамвани да кликнат върху връзка в имейла, вярвайки, че това ще ги отведе до вътрешна система за преглед на оферта за работа. Тази връзка обаче ги пренасочи през поредица от компрометирани уебсайтове, често хоствани на уважавани домейни, което в крайна сметка доведе до уебсайт, свързан с измама.

На целевата страница, която изглежда е била част от процеса на набиране на персонал, на жертвите е била представена персонализирана информация за повишаване на достоверността. Те бяха подканени да изтеглят документ, описващ подробно офертата за работа, като се изисква CAPTCHA тест, преди да продължат.

След като CAPTCHA беше завършена, жертвите несъзнателно изтеглиха обфусциран JavaScript файл. Този файл изпълни PowerShell скрипт, предназначен да зарази системи с Warmcookie, установявайки задната врата и инициирайки допълнителни злонамерени дейности.

Задната врата на WARMCOOKIE може да изложи жертвите на повече заплахи от зловреден софтуер

WARMCOOKIE, въпреки относително ограничените си възможности, играе решаваща роля като заден злонамерен софтуер, като предоставя първоначална входна точка в целеви мрежи. Подобно на много задни вратички, WARMCOOKIE е проектиран с функции за анти-анализ, за да избегне откриването, като например механизми за отстраняване на грешки и възможност за откриване на пясъчни среди. Освен това, той гарантира устойчивост, като планира да работи на всеки десет минути, което му позволява да поддържа контрол върху компрометираната система.

Веднъж успешно инфилтриран, WARMCOOKIE започва своите операции на два етапа. Първоначално той събира важна информация от заразената машина, включително сериен номер на том, DNS домейн, име на устройство и потребителско име. След това тези данни се предават на сървъра за командване и управление (C&C) на атакуващия, който е твърдо кодиран в зловредния софтуер.

Във втория си етап WARMCOOKIE продължава да събира информация, като се фокусира върху извличането на подробности за процесора, IP адреса на жертвата и изчерпателен списък с инсталиран софтуер, включително имена, версии и дати на инсталиране.

WARMCOOKIE притежава способността да изпълнява различни команди на заразени системи, като четене на файлове, заснемане на екранни снимки и изтегляне на допълнителни файлове на компрометирани устройства. Неговата основна функция е да изтегля и инсталира допълнителен злонамерен софтуер, като по този начин поддържа по-нататъшни инфекции.

Докато задните врати теоретично имат потенциала да въведат всякакъв вид зловреден софтуер в системите, те обикновено работят в рамките на определени ограничения. В случая с WARMCOOKIE това може да доведе до инсталиране на троянски вируси или подобен злонамерен софтуер, разширявайки обхвата на инфекцията и създавайки по-големи заплахи за засегнатите системи.