WARMCOOKIE דלת אחורית
תוכנה זדונית בדלת אחורית, כגון WARMCOOK, היא תוכנה מאיימת שנוצרה כדי לנצל פגיעויות מחשב, המאפשרות גישה ושליטה בלתי מורשית. תוכנות אלו שואפות ליצור נקודת כניסה נסתרת, המאפשרת לתוקפים לבצע פעילויות מזיקות שונות, כולל התקנת תוכנות זדוניות נוספות. אכן, המטרה העיקרית של WAMCOOKIE היא להקל על זיהומים נוספים על ידי הורדה והתקנה של איומי תוכנות זדוניות בשלב הבא על מערכות שנפגעו.
גרסת תוכנה זדונית זו, המכונה WARMCOOKIE, זוהתה כבר באביב 2024, עם גרסאות מוקדמות יותר במחזור. חוקרים מזהירים ש-WARMCOOKIE מופצת באופן פעיל באמצעות מסעות פרסום ממוקדים בדואר זבל, שבהם מרמים משתמשים תמימים לפתוח קבצים מצורפים זדוניים או ללחוץ על קישורים הונאה.
פושעי סייבר מטעים קורבנות באמצעות דוא"ל פישינג
WARMCOOKIE הופצה באמצעות קמפיינים ממוקדים של דואר זבל שהשתמשו בנושאים הקשורים לעבודה כדי לפתות נמענים. מיילים אלה התחזו לחברות גיוס לגיטימיות, פנו לקורבנות בשמם האמיתי וסיפקו פרטים כמו עמדת העסקתם הנוכחית, מה שגרם להם להיראות אותנטיים.
הנמענים התפתו ללחוץ על קישור במייל, מתוך אמונה שזה יוביל אותם למערכת פנימית לבדיקת הצעת עבודה. עם זאת, קישור זה הפנה אותם דרך סדרה של אתרים שנפגעו, המתארחים לרוב בדומיינים בעלי מוניטין, מה שהוביל בסופו של דבר לאתר הקשור להונאה.
בדף הנחיתה, שנראה היה חלק מתהליך הגיוס, הוצג לקורבנות מידע מותאם אישית כדי לשפר את האמינות. הם התבקשו להוריד מסמך המפרט את הצעת העבודה, עם בדיקת CAPTCHA נדרשת לפני שתמשיך.
לאחר השלמת ה-CAPTCHA, הקורבנות הורידו ללא ידיעתו קובץ JavaScript מעורפל. קובץ זה הפעיל סקריפט PowerShell שנועד להדביק מערכות ב-Warmcookie, לבסס את הגישה לדלת האחורית וליזום פעילויות זדוניות נוספות.
הדלת האחורית של WARMCOOKIE עלולה לחשוף את הקורבנות לאיומי תוכנה זדונית נוספים
WARMCOOKIE, למרות היכולות המוגבלות יחסית שלה, משרתת תפקיד מכריע כתוכנה זדונית בדלת אחורית על ידי מתן נקודת כניסה ראשונית לרשתות ממוקדות. כמו דלתות אחוריות רבות, WARMCOOKIE תוכננה עם תכונות אנטי-אנליזה כדי להתחמק מזיהוי, כגון מנגנונים נגד איתור באגים והיכולת לזהות סביבות ארגז חול. יתר על כן, הוא מבטיח התמדה בכך שהוא מתזמן את עצמו לפעול כל עשר דקות, ומאפשר לו לשמור על שליטה על המערכת שנפרצה.
לאחר שהסתננו בהצלחה, WARMCOOKIE מתחילה את פעילותה בשני שלבים. בתחילה, הוא אוסף מידע חיוני מהמחשב הנגוע, כולל מספר סידורי נפח, תחום DNS, שם מכשיר ושם משתמש. נתונים אלה מועברים לאחר מכן לשרת Command-and-Control (C&C) של התוקפים, שמקודד קשה לתוך התוכנה הזדונית.
בשלב השני, WARMCOOKIE ממשיכה לאסוף מידע, תוך התמקדות בחילוץ פרטי המעבד, כתובת ה-IP של הקורבן ורשימה מקיפה של תוכנות מותקנות, כולל שמות, גרסאות ותאריכי התקנה.
ל-WARMCOOKIE יש את היכולת לבצע פקודות שונות במערכות נגועות, כגון קריאת קבצים, לכידת צילומי מסך והורדת קבצים נוספים למכשירים שנפגעו. תפקידו העיקרי הוא בהורדה והתקנה של תוכנות זדוניות נוספות, ובכך להנציח זיהומים נוספים.
בעוד שלדלתות אחוריות יש תיאורטית פוטנציאל להחדיר כל סוג של תוכנות זדוניות למערכות, הן פועלות בדרך כלל במסגרת אילוצים מסוימים. במקרה של WARMCOOKIE, הדבר עלול להוביל להתקנת וירוסים טרויאניים או תוכנות זדוניות דומות, להרחיב את היקף ההדבקה ולהוות איומים גדולים יותר למערכות המושפעות.
