WARMCOOKIE Porta sul retro

Un malware backdoor, come WARMCOOK, è un software minaccioso creato per sfruttare le vulnerabilità del computer, consentendo l'accesso e il controllo non autorizzati. Questi programmi mirano a creare un punto di ingresso nascosto, consentendo agli aggressori di svolgere varie attività dannose, inclusa l'installazione di malware aggiuntivo. In effetti, lo scopo principale di WAMCOOKIE è facilitare ulteriori infezioni scaricando e installando minacce malware di livello successivo sui sistemi compromessi.

Questa variante del malware, nota come WARMCOOKIE, è stata identificata già nella primavera del 2024, ma potenzialmente sono in circolazione anche versioni precedenti. I ricercatori avvertono che WARMCOOKIE viene distribuito attivamente attraverso campagne di spam e-mail mirate, in cui utenti ignari vengono indotti con l'inganno ad aprire allegati dannosi o a fare clic su collegamenti fraudolenti.

I criminali informatici ingannano le vittime con e-mail di phishing

WARMCOOKIE è stato distribuito tramite campagne e-mail di spam mirate che utilizzavano temi relativi al lavoro per attirare i destinatari. Queste e-mail si spacciavano per società di reclutamento legittime, rivolgendosi alle vittime con i loro veri nomi e fornendo dettagli come la loro attuale posizione lavorativa, facendole apparire autentiche.

I destinatari sono stati indotti a fare clic su un collegamento nell'e-mail, credendo che li avrebbe portati a un sistema interno per esaminare un'offerta di lavoro. Tuttavia, questo collegamento li reindirizzava attraverso una serie di siti Web compromessi, spesso ospitati su domini affidabili, che alla fine conducevano a un sito Web correlato alla frode.

Sulla pagina di destinazione, che sembrava far parte del processo di reclutamento, alle vittime venivano presentate informazioni personalizzate per aumentare la credibilità. È stato chiesto loro di scaricare un documento che dettagliasse l'offerta di lavoro, con un test CAPTCHA richiesto prima di procedere.

Una volta completato il CAPTCHA, le vittime scaricavano inconsapevolmente un file JavaScript offuscato. Questo file eseguiva uno script PowerShell progettato per infettare i sistemi con Warmcookie, stabilendo l'accesso backdoor e avviando ulteriori attività dannose.

La backdoor WARMCOOKIE potrebbe esporre le vittime a ulteriori minacce malware

WARMCOOKIE, nonostante le sue capacità relativamente limitate, svolge un ruolo cruciale come malware backdoor fornendo un punto di ingresso iniziale nelle reti mirate. Come molte backdoor, WARMCOOKIE è progettato con funzionalità anti-analisi per eludere il rilevamento, come meccanismi anti-debug e la capacità di rilevare ambienti sandbox. Inoltre, garantisce la persistenza programmandosi per l'esecuzione ogni dieci minuti, consentendogli di mantenere il controllo sul sistema compromesso.

Una volta infiltrato con successo, WARMCOOKIE avvia le sue operazioni in due fasi. Inizialmente, raccoglie informazioni essenziali dalla macchina infetta, inclusi il numero di serie del volume, il dominio DNS, il nome del dispositivo e il nome utente. Questi dati vengono quindi trasmessi al server Command-and-Control (C&C) degli aggressori, che è codificato nel malware.

Nella seconda fase, WARMCOOKIE continua a raccogliere informazioni, concentrandosi sull'estrazione dei dettagli della CPU, dell'indirizzo IP della vittima e di un elenco completo del software installato, inclusi nomi, versioni e date di installazione.

WARMCOOKIE possiede la capacità di eseguire vari comandi sui sistemi infetti, come leggere file, acquisire schermate e scaricare file aggiuntivi su dispositivi compromessi. La sua funzione principale consiste nel scaricare e installare malware aggiuntivo, perpetuando così ulteriori infezioni.

Anche se teoricamente le backdoor hanno il potenziale per introdurre qualsiasi tipo di malware nei sistemi, in genere operano entro determinati limiti. Nel caso di WARMCOOKIE ciò potrebbe portare all'installazione di virus trojan o software dannosi simili, ampliando la portata dell'infezione e rappresentando una minaccia maggiore per i sistemi interessati.