WARMCOOKIE hátsó ajtó

A backdoor malware, mint például a WARMCOOK, egy fenyegető szoftver, amelyet a számítógép sebezhetőségeinek kihasználására hoztak létre, lehetővé téve az illetéktelen hozzáférést és ellenőrzést. Ezek a programok célja egy rejtett belépési pont létrehozása, amely lehetővé teszi a támadók számára, hogy különféle káros tevékenységeket hajtsanak végre, beleértve további rosszindulatú programok telepítését. Valójában a WAMCOOKIE elsődleges célja a további fertőzések elősegítése azáltal, hogy letölti és telepíti a következő fokozatú kártevőket a feltört rendszerekre.

Ezt a WARMCOOKIE néven ismert rosszindulatú programváltozatot már 2024 tavaszán azonosították, és potenciálisan még korábbi verziók is forgalomba kerültek. A kutatók arra figyelmeztetnek, hogy a WARMCOOKIE-t aktívan terjesztik célzott e-mail spamkampányokon keresztül, ahol a gyanútlan felhasználókat ráveszik arra, hogy rosszindulatú mellékleteket nyissanak meg, vagy hamis hivatkozásokra kattintsanak.

A kiberbűnözők adathalász e-mailekkel csalják meg az áldozatokat

A WARMCOOKIE-t célzott spam e-mail kampányokon keresztül terjesztették, amelyek munkával kapcsolatos témákat használtak a címzettek csalogatására. Ezek az e-mailek jogszerű munkaerő-toborzó cégeket adtak ki, valódi nevükön szólították meg az áldozatokat, és olyan részleteket adtak meg, mint a jelenlegi munkahelyi pozíciójuk, így hitelesnek tűnnek.

A címzetteket arra csábították, hogy kattintsanak az e-mailben található hivatkozásra, és azt hitték, hogy az egy belső rendszerhez vezeti őket, ahol áttekintik az állásajánlatot. Ez a link azonban átirányította őket egy sor feltört webhelyre, amelyeket gyakran jó hírű domaineken tárolnak, és végül csalással kapcsolatos webhelyhez vezetett.

A nyitóoldalon, amely a toborzási folyamat része volt, az áldozatok személyre szabott információkat kaptak a hitelesség növelése érdekében. Arra kérték őket, hogy töltsenek le egy dokumentumot, amely részletezi az állásajánlatot, és a folytatás előtt CAPTCHA-teszt szükséges.

Miután a CAPTCHA befejeződött, az áldozatok tudtukon kívül letöltöttek egy zavart JavaScript-fájlt. Ez a fájl egy PowerShell-szkriptet hajtott végre, amelyet arra terveztek, hogy Warmcookie-val megfertőzze a rendszereket, létrehozva a hátsó ajtóhoz való hozzáférést, és további rosszindulatú tevékenységeket indítson el.

A WARMCOOKIE Backdoor több rosszindulatú programnak teheti ki az áldozatokat

A WARMCOOKIE viszonylag korlátozott képességei ellenére kulcsfontosságú szerepet tölt be, mint egy hátsó ajtó rosszindulatú programja, mivel kezdeti belépési pontot biztosít a célzott hálózatokba. Sok hátsó ajtóhoz hasonlóan a WARMCOOKIE-t is olyan elemző funkciókkal tervezték, amelyek elkerülik az észlelést, mint például a hibakeresési mechanizmusok és a sandbox környezetek észlelésének képessége. Ezenkívül biztosítja a kitartást azáltal, hogy tízpercenként beütemezi magát, lehetővé téve, hogy fenntartsa az irányítást a kompromittált rendszer felett.

Sikeres beszivárgás után a WARMCOOKIE két szakaszban kezdi meg működését. Kezdetben lényeges információkat gyűjt a fertőzött gépről, beleértve a kötet sorozatszámát, DNS-tartományát, eszköznevét és felhasználónevét. Ezek az adatok ezután a támadók Command-and-Control (C&C) szerverére kerülnek, amely be van kódolva a rosszindulatú programba.

A második szakaszban a WARMCOOKIE folytatja az információgyűjtést, a CPU részleteinek, az áldozat IP-címének és a telepített szoftverek átfogó listájának kinyerésére összpontosítva, beleértve a neveket, verziókat és telepítési dátumokat.

A WARMCOOKIE képes különféle parancsok végrehajtására a fertőzött rendszereken, például fájlok beolvasására, képernyőképek rögzítésére és további fájlok letöltésére a feltört eszközökre. Elsődleges funkciója további rosszindulatú programok letöltésében és telepítésében rejlik, ezáltal állandósítva a további fertőzéseket.

Míg a hátsó ajtók elméletileg képesek bármilyen típusú rosszindulatú programot bevinni a rendszerekbe, jellemzően bizonyos korlátok között működnek. A WARMCOOKIE esetében ez trójai vírusok vagy hasonló rosszindulatú szoftverek telepítéséhez vezethet, ami kiterjeszti a fertőzés terjedelmét, és nagyobb fenyegetést jelent az érintett rendszerekre.