WARMCOOKIE Porta del darrere
Un programari maliciós de porta posterior, com ara WARMCOOK, és un programari amenaçador creat per explotar les vulnerabilitats de l'ordinador, permetent l'accés i el control no autoritzats. Aquests programes tenen com a objectiu establir un punt d'entrada ocult, que permeti als atacants dur a terme diverses activitats perjudicials, inclosa la instal·lació de programari maliciós addicional. De fet, l'objectiu principal de WAMCOOKIE és facilitar més infeccions baixant i instal·lant amenaces de programari maliciós de la següent etapa en sistemes compromesos.
Aquesta variant de programari maliciós, coneguda com WARMCOOKIE, s'ha identificat ja a la primavera de 2024, amb versions potencialment anteriors en circulació. Els investigadors adverteixen que WARMCOOKIE es distribueix activament mitjançant campanyes de correu brossa dirigides, on els usuaris desprevinguts són enganyats perquè obrin fitxers adjunts maliciosos o facin clic en enllaços fraudulents.
Els ciberdelinqüents enganyen les víctimes amb correus electrònics de pesca
WARMCOOKIE es va distribuir mitjançant campanyes de correu brossa dirigides que utilitzaven temes relacionats amb la feina per atraure els destinataris. Aquests correus electrònics van suplantar les empreses de contractació legítimes, adreçant-se a les víctimes pel seu nom real i proporcionant detalls com la seva posició laboral actual, fent-los semblar autèntics.
Els destinataris van ser seduïts per fer clic a un enllaç del correu electrònic, creient que els portaria a un sistema intern per revisar una oferta de feina. No obstant això, aquest enllaç els va redirigir a través d'una sèrie de llocs web compromesos, sovint allotjats en dominis de bona reputació, que finalment van conduir a un lloc web relacionat amb el frau.
A la pàgina de destinació, que semblava formar part del procés de contractació, es va presentar a les víctimes informació personalitzada per augmentar la credibilitat. Se'ls va demanar que baixessin un document que detallava l'oferta de treball, amb una prova CAPTCHA necessària abans de continuar.
Un cop completat el CAPTCHA, les víctimes van baixar sense saber-ho un fitxer JavaScript ofuscat. Aquest fitxer va executar un script de PowerShell dissenyat per infectar sistemes amb Warmcookie, establint l'accés de la porta posterior i iniciant més activitats malicioses.
La porta posterior WARMCOOKIE podria exposar les víctimes a més amenaces de programari maliciós
WARMCOOKIE, malgrat les seves capacitats relativament limitades, té un paper crucial com a programari maliciós de porta posterior al proporcionar un punt d'entrada inicial a les xarxes dirigides. Com moltes portes del darrere, WARMCOOKIE està dissenyat amb funcions antianàlisi per evadir la detecció, com ara mecanismes antidepuració i la capacitat de detectar entorns sandbox. A més, garanteix la persistència programant-se per executar-se cada deu minuts, cosa que li permet mantenir el control sobre el sistema compromès.
Un cop s'ha infiltrat amb èxit, WARMCOOKIE inicia les seves operacions en dues etapes. Inicialment, recopila informació essencial de la màquina infectada, inclòs el número de sèrie del volum, el domini DNS, el nom del dispositiu i el nom d'usuari. A continuació, aquestes dades es transmeten al servidor de comandament i control (C&C) dels atacants, que està codificat en dur al programari maliciós.
En la seva segona etapa, WARMCOOKIE continua recopilant informació, centrant-se a extreure els detalls de la CPU, l'adreça IP de la víctima i una llista completa de programari instal·lat, que inclou noms, versions i dates d'instal·lació.
WARMCOOKIE té la capacitat d'executar diverses ordres en sistemes infectats, com ara llegir fitxers, capturar captures de pantalla i descarregar fitxers addicionals en dispositius compromesos. La seva funció principal consisteix a descarregar i instal·lar programari maliciós addicional, perpetuant així més infeccions.
Tot i que teòricament les portes del darrere tenen el potencial d'introduir qualsevol tipus de programari maliciós als sistemes, normalment funcionen amb determinades limitacions. En el cas de WARMCOOKIE, això podria comportar la instal·lació de virus troians o programari maliciós similar, ampliant l'abast de la infecció i suposant majors amenaces per als sistemes afectats.
