WARMCOOKIE Backdoor

Malware typu backdoor, jako je WARMCOOK, je hrozivý software vytvořený za účelem zneužití zranitelnosti počítače a umožňující neoprávněný přístup a kontrolu. Tyto programy mají za cíl vytvořit skrytý vstupní bod umožňující útočníkům provádět různé škodlivé činnosti, včetně instalace dalšího malwaru. Ve skutečnosti je primárním účelem WAMCOOKIE usnadnit další infekce stahováním a instalací malwarových hrozeb další fáze do kompromitovaných systémů.

Tato varianta malwaru, známá jako WARMCOOKIE, byla identifikována již na jaře 2024, přičemž v oběhu jsou potenciálně ještě dřívější verze. Výzkumníci varují, že WARMCOOKIE je aktivně distribuován prostřednictvím cílených e-mailových spamových kampaní, kde jsou nic netušící uživatelé oklamáni, aby otevřeli škodlivé přílohy nebo klikli na podvodné odkazy.

Kyberzločinci podvádějí oběti pomocí phishingových e-mailů

WARMCOOKIE byl distribuován prostřednictvím cílených spamových e-mailových kampaní, které k nalákání příjemců využívaly témata související s prací. Tyto e-maily se vydávaly za legitimní náborové firmy, oslovovaly oběti jejich skutečnými jmény a poskytovaly podrobnosti, jako je jejich současná pracovní pozice, takže vypadaly autenticky.

Příjemci byli nalákáni, aby klikli na odkaz v e-mailu, protože věřili, že je to zavede do interního systému ke kontrole pracovní nabídky. Tento odkaz je však přesměroval přes řadu napadených webů, často hostovaných na renomovaných doménách, což nakonec vedlo k webovým stránkám souvisejícím s podvody.

Na vstupní stránce, která se zdála být součástí náborového procesu, byly obětem prezentovány personalizované informace ke zvýšení důvěryhodnosti. Byli vyzváni, aby si stáhli dokument s podrobnostmi o pracovní nabídce a před pokračováním byl vyžadován test CAPTCHA.

Jakmile byl CAPTCHA dokončen, oběti si nevědomky stáhly zmatený soubor JavaScript. Tento soubor spustil skript PowerShell navržený tak, aby infikoval systémy pomocí Warmcookie, zřídil zadní vrátka a zahájil další škodlivé aktivity.

WARMCOOKIE Backdoor by mohl vystavit oběti většímu počtu malwarových hrozeb

WARMCOOKIE, navzdory svým relativně omezeným schopnostem, hraje klíčovou roli jako backdoor malware tím, že poskytuje počáteční vstupní bod do cílených sítí. Stejně jako mnoho zadních vrátek je i WARMCOOKIE navržen s antianalytickými funkcemi, aby se vyhnul detekci, jako jsou mechanismy proti ladění a schopnost detekovat prostředí sandbox. Navíc zajišťuje stálost tím, že si naplánuje spuštění každých deset minut, což mu umožňuje udržet kontrolu nad napadeným systémem.

Po úspěšné infiltraci WARMCOOKIE zahájí své operace ve dvou fázích. Zpočátku shromažďuje základní informace z infikovaného počítače, včetně sériového čísla svazku, domény DNS, názvu zařízení a uživatelského jména. Tato data jsou poté přenesena na server Command-and-Control (C&C) útočníků, který je napevno zakódován do malwaru.

Ve své druhé fázi WARMCOOKIE pokračuje ve shromažďování informací se zaměřením na extrahování podrobností o CPU, IP adresy oběti a komplexního seznamu nainstalovaného softwaru, včetně jmen, verzí a dat instalace.

WARMCOOKIE má schopnost provádět různé příkazy na infikovaných systémech, jako je čtení souborů, pořizování snímků obrazovky a stahování dalších souborů do napadených zařízení. Jeho primární funkce spočívá ve stahování a instalaci dalšího malwaru, čímž udržuje další infekce.

Zatímco zadní vrátka teoreticky mají potenciál zavést jakýkoli typ malwaru do systémů, obvykle fungují v rámci určitých omezení. V případě WARMCOOKIE by to mohlo vést k instalaci trojských virů nebo podobného škodlivého softwaru, což by rozšířilo rozsah infekce a představovalo větší hrozbu pro postižené systémy.