WARMCOOKIE Stražnja vrata

Backdoor malware, kao što je WARMCOOK, je prijeteći softver stvoren za iskorištavanje ranjivosti računala, dopuštajući neovlašteni pristup i kontrolu. Ovi programi imaju za cilj uspostaviti skrivenu ulaznu točku, omogućujući napadačima izvođenje raznih štetnih aktivnosti, uključujući instalaciju dodatnog zlonamjernog softvera. Doista, primarna je svrha WAMCOOKIE-a olakšati daljnje infekcije preuzimanjem i instaliranjem zlonamjernih prijetnji sljedećeg stupnja na kompromitirane sustave.

Ova varijanta zlonamjernog softvera, poznata kao WARMCOOKIE, identificirana je već u proljeće 2024., s potencijalno čak i ranijim verzijama u opticaju. Istraživači upozoravaju da se WARMCOOKIE aktivno distribuira kroz ciljane kampanje neželjene e-pošte, gdje su korisnici koji ništa ne sumnjaju prevareni da otvore zlonamjerne privitke ili kliknu na lažne poveznice.

Cyberkriminalci prevare žrtve e-poštom za krađu identiteta

WARMCOOKIE je distribuiran putem ciljanih kampanja neželjene e-pošte koje su koristile teme povezane s poslom kako bi privukle primatelje. Te e-poruke predstavljale su legitimne tvrtke za zapošljavanje, oslovljavajući žrtve njihovim pravim imenima i dajući pojedinosti poput njihovog trenutnog radnog mjesta, čineći ih autentičnima.

Primatelji su bili namamljeni da kliknu na poveznicu u e-poruci, vjerujući da će ih odvesti do internog sustava za pregled ponude za posao. Međutim, ova poveznica ih je preusmjerila kroz niz ugroženih web stranica, često hostiranih na renomiranim domenama, što je u konačnici dovelo do web stranice povezane s prijevarom.

Na odredišnoj stranici, za koju se činilo da je dio procesa zapošljavanja, žrtvama su predstavljene personalizirane informacije kako bi se povećala vjerodostojnost. Od njih je zatraženo da preuzmu dokument s pojedinostima ponude za posao, uz CAPTCHA test koji je bio potreban prije nastavka.

Nakon što je CAPTCHA dovršen, žrtve su nesvjesno preuzele maskiranu JavaScript datoteku. Ova je datoteka izvršila PowerShell skriptu dizajniranu za zarazu sustava Warmcookiejem, uspostavljajući backdoor pristup i inicirajući daljnje zlonamjerne aktivnosti.

WARMCOOKIE Backdoor mogao bi izložiti žrtve novim prijetnjama od zlonamjernog softvera

WARMCOOKIE, unatoč svojim relativno ograničenim mogućnostima, ima ključnu ulogu kao backdoor zlonamjerni softver pružajući početnu ulaznu točku u ciljane mreže. Poput mnogih backdoora, WARMCOOKIE je dizajniran sa značajkama protiv analize kako bi se izbjeglo otkrivanje, kao što su mehanizmi za uklanjanje pogrešaka i sposobnost otkrivanja okruženja sandboxa. Štoviše, osigurava postojanost tako što se zakazuje za pokretanje svakih deset minuta, što mu omogućuje da zadrži kontrolu nad ugroženim sustavom.

Nakon što se uspješno infiltrira, WARMCOOKIE započinje svoje operacije u dvije faze. U početku prikuplja bitne informacije sa zaraženog računala, uključujući serijski broj volumena, DNS domenu, naziv uređaja i korisničko ime. Ti se podaci zatim prenose na napadačev Command-and-Control (C&C) poslužitelj, koji je tvrdo kodiran u zlonamjernom softveru.

U svojoj drugoj fazi, WARMCOOKIE nastavlja prikupljati informacije, fokusirajući se na izdvajanje CPU pojedinosti, žrtvine IP adrese i sveobuhvatan popis instaliranog softvera, uključujući imena, verzije i datume instalacije.

WARMCOOKIE posjeduje mogućnost izvršavanja raznih naredbi na zaraženim sustavima, poput čitanja datoteka, snimanja zaslona i preuzimanja dodatnih datoteka na ugrožene uređaje. Njegova primarna funkcija leži u preuzimanju i instaliranju dodatnog zlonamjernog softvera, čime se održavaju daljnje infekcije.

Dok backdoori teoretski imaju potencijal uvesti bilo koju vrstu zlonamjernog softvera u sustave, oni obično rade unutar određenih ograničenja. U slučaju WARMCOOKIE, to bi moglo dovesti do instaliranja trojanskih virusa ili sličnog zlonamjernog softvera, proširujući opseg infekcije i predstavljajući veću prijetnju pogođenim sustavima.