درب پشتی WARMCOOKIE

بدافزار Backdoor، مانند WARMCOOK، یک نرم‌افزار تهدیدکننده است که برای سوءاستفاده از آسیب‌پذیری‌های رایانه ایجاد شده و امکان دسترسی و کنترل غیرمجاز را فراهم می‌کند. هدف این برنامه ها ایجاد یک نقطه ورودی مخفی است که مهاجمان را قادر می سازد تا فعالیت های مضر مختلفی از جمله نصب بدافزار اضافی را انجام دهند. در واقع، هدف اصلی WAMCOOKIE تسهیل آلودگی های بیشتر با دانلود و نصب تهدیدات بدافزار مرحله بعدی بر روی سیستم های در معرض خطر است.

این نوع بدافزار که با نام WARMCOOKIE شناخته می‌شود، در اوایل بهار سال 2024 شناسایی شد و نسخه‌های بالقوه‌ای حتی قدیمی‌تر نیز در گردش بود. محققان هشدار می‌دهند که WARMCOOKIE به طور فعال از طریق کمپین‌های هدفمند اسپم ایمیل توزیع می‌شود، جایی که کاربران ناآگاه فریب داده می‌شوند تا پیوست‌های مخرب را باز کنند یا روی پیوندهای جعلی کلیک کنند.

مجرمان سایبری قربانیان را با ایمیل های فیشینگ فریب می دهند

WARMCOOKIE از طریق کمپین های ایمیل هرزنامه هدفمند توزیع شد که از موضوعات مرتبط با شغل برای جذب گیرندگان استفاده می کردند. این ایمیل‌ها جعل هویت شرکت‌های استخدام قانونی بودند، قربانیان را با نام واقعی‌شان خطاب می‌کردند و جزئیاتی مانند موقعیت شغلی فعلی‌شان را ارائه می‌دادند که باعث می‌شد آنها معتبر به نظر برسند.

گیرندگان وسوسه شدند تا روی پیوندی در ایمیل کلیک کنند و معتقد بودند که این امر آنها را به یک سیستم داخلی برای بررسی یک پیشنهاد شغلی هدایت می کند. با این حال، این پیوند آنها را از طریق یک سری از وب‌سایت‌های آسیب‌دیده، که اغلب در دامنه‌های معتبر میزبانی می‌شوند، هدایت کرد و در نهایت به یک وب‌سایت مرتبط با کلاهبرداری منجر شد.

در صفحه فرود، که به نظر می‌رسید بخشی از فرآیند استخدام باشد، اطلاعات شخصی به قربانیان برای افزایش اعتبار ارائه شد. از آنها خواسته شد تا سندی را دانلود کنند که جزئیات پیشنهاد شغلی را ارائه می‌دهد و قبل از ادامه، یک آزمایش CAPTCHA لازم است.

پس از تکمیل CAPTCHA، قربانیان ناآگاهانه یک فایل جاوا اسکریپت مبهم را دانلود کردند. این فایل یک اسکریپت PowerShell را اجرا می‌کند که برای آلوده کردن سیستم‌ها به Warmcookie، ایجاد دسترسی درب پشتی و شروع فعالیت‌های مخرب بیشتر طراحی شده است.

WARMCOOKIE Backdoor می تواند قربانیان را در معرض تهدیدات بدافزار بیشتری قرار دهد

WARMCOOKIE، با وجود قابلیت‌های نسبتاً محدود خود، با ارائه یک نقطه ورود اولیه به شبکه‌های هدف، نقش مهمی را به عنوان یک بدافزار پشتی ایفا می‌کند. مانند بسیاری از درهای پشتی، WARMCOOKIE با ویژگی های ضد تجزیه و تحلیل برای فرار از تشخیص طراحی شده است، مانند مکانیسم های ضد اشکال زدایی و توانایی شناسایی محیط های جعبه شنی. علاوه بر این، با برنامه‌ریزی برای اجرا هر ده دقیقه، پایداری را تضمین می‌کند و به آن اجازه می‌دهد تا کنترل سیستم در معرض خطر را حفظ کند.

پس از نفوذ موفقیت آمیز، WARMCOOKIE عملیات خود را در دو مرحله آغاز می کند. در ابتدا، اطلاعات ضروری را از دستگاه آلوده جمع آوری می کند، از جمله شماره سریال حجم، دامنه DNS، نام دستگاه و نام کاربری. سپس این داده‌ها به سرور فرماندهی و کنترل (C&C) مهاجمان منتقل می‌شود که در بدافزار کدگذاری شده است.

در مرحله دوم، WARMCOOKIE به جمع‌آوری اطلاعات ادامه می‌دهد و بر استخراج جزئیات CPU، آدرس IP قربانی و فهرستی جامع از نرم‌افزارهای نصب‌شده شامل نام‌ها، نسخه‌ها و تاریخ نصب تمرکز می‌کند.

WARMCOOKIE دارای قابلیت اجرای دستورات مختلف بر روی سیستم های آلوده، مانند خواندن فایل ها، گرفتن اسکرین شات و دانلود فایل های اضافی بر روی دستگاه های در معرض خطر است. عملکرد اصلی آن در دانلود و نصب بدافزار اضافی نهفته است، در نتیجه عفونت های بیشتر را تداوم می بخشد.

در حالی که درهای پشتی از نظر تئوری پتانسیل معرفی هر نوع بدافزار را به سیستم ها دارند، معمولاً در محدودیت های خاصی عمل می کنند. در مورد WARMCOOKIE، این می‌تواند به نصب ویروس‌های تروجان یا نرم‌افزارهای مخرب مشابه منجر شود، دامنه آلودگی را گسترش داده و تهدیدات بیشتری را برای سیستم‌های آسیب‌دیده ایجاد کند.