WARMCOOKIE užpakalinės durys

Užpakalinių durų kenkėjiška programa, tokia kaip WARMCOOK, yra grėsminga programinė įranga, sukurta siekiant išnaudoti kompiuterio pažeidžiamumą, leidžiantį neteisėtai pasiekti ir valdyti. Šiomis programomis siekiama sukurti paslėptą įėjimo tašką, leidžiantį užpuolikams atlikti įvairią žalingą veiklą, įskaitant papildomos kenkėjiškos programos įdiegimą. Iš tiesų, pagrindinis WAMCOOKIE tikslas yra palengvinti tolesnę užkrėtimą atsisiunčiant ir įdiegiant naujos pakopos kenkėjiškų programų grėsmes į pažeistas sistemas.

Šis kenkėjiškos programos variantas, žinomas kaip WARMCOOKIE, buvo identifikuotas dar 2024 m. pavasarį, o galbūt buvo išleistos dar ankstesnės versijos. Tyrėjai perspėja, kad WARMCOOKIE aktyviai platinamas per tikslines el. pašto šiukšlių kampanijas, kurių metu nieko neįtariantys vartotojai yra apgaudinėjami atidaryti kenkėjiškus priedus arba spustelėti apgaulingas nuorodas.

Kibernetiniai nusikaltėliai apgaudinėja aukas sukčiavimo el. laiškais

WARMCOOKIE buvo platinamas per tikslines šlamšto el. pašto kampanijas, kurios naudojo su darbu susijusias temas, kad suviliotų gavėjus. Šiuose el. laiškuose buvo apsimetinėjama teisėtomis įdarbinimo įmonėmis, į aukas kreipiamasi jų tikraisiais vardais ir pateikiama tokia informacija, kaip jų dabartinė darbo padėtis, todėl jos atrodo autentiškos.

Gavėjai buvo priversti spustelėti el. laiške esančią nuorodą, manydami, kad tai nukreips juos į vidinę darbo pasiūlymo peržiūros sistemą. Tačiau ši nuoroda nukreipė juos į kelias pažeistas svetaines, dažnai priglobtas patikimuose domenuose, o tai galiausiai nukreipė į su sukčiavimu susijusią svetainę.

Nukreipimo puslapyje, kuris atrodė kaip įdarbinimo proceso dalis, aukoms buvo pateikta suasmeninta informacija, siekiant padidinti patikimumą. Jie buvo paraginti atsisiųsti dokumentą, kuriame išsamiai aprašomas darbo pasiūlymas, o prieš tęsiant reikia atlikti CAPTCHA testą.

Kai CAPTCHA buvo baigtas, aukos nesąmoningai atsisiuntė užtemdytą JavaScript failą. Šis failas vykdė „PowerShell“ scenarijų, skirtą užkrėsti sistemas „Warmcookie“, sukuriant užpakalinių durų prieigą ir inicijuojant tolesnę kenkėjišką veiklą.

WARMCOOKIE „Backdoor“ gali sukelti aukoms daugiau grėsmių kenkėjiškoms programoms

WARMCOOKIE, nepaisant gana ribotų galimybių, atlieka esminį užpakalinių durų kenkėjiškos programos vaidmenį, suteikdama pradinį įėjimo į tikslinius tinklus tašką. Kaip ir daugelis užpakalinių durų, WARMCOOKIE sukurta su antianalizės funkcijomis, kad būtų išvengta aptikimo, pvz., apsaugos nuo derinimo mechanizmai ir galimybė aptikti smėlio dėžės aplinką. Be to, jis užtikrina atkaklumą, suplanuodamas veikimą kas dešimt minučių, leisdamas išlaikyti pažeistos sistemos kontrolę.

Sėkmingai įsiskverbusi, WARMCOOKIE pradeda savo veiklą dviem etapais. Iš pradžių ji renka esminę informaciją iš užkrėsto įrenginio, įskaitant tomo serijos numerį, DNS domeną, įrenginio pavadinimą ir vartotojo vardą. Tada šie duomenys perduodami į užpuolikų komandų ir valdymo (C&C) serverį, kuris yra užkoduotas kenkėjiškoje programoje.

Antrajame etape WARMCOOKIE ir toliau renka informaciją, daugiausia dėmesio skirdama procesoriaus detalių išgavimui, aukos IP adresui ir išsamiam įdiegtos programinės įrangos sąrašui, įskaitant pavadinimus, versijas ir diegimo datas.

WARMCOOKIE turi galimybę vykdyti įvairias komandas užkrėstose sistemose, tokias kaip failų skaitymas, ekrano kopijų fiksavimas ir papildomų failų atsisiuntimas į pažeistus įrenginius. Pagrindinė jo funkcija yra atsisiųsti ir įdiegti papildomas kenkėjiškas programas, taip išlaikant tolesnes infekcijas.

Nors teoriškai užpakalinės durys gali įvesti bet kokio tipo kenkėjiškas programas į sistemas, jos paprastai veikia laikantis tam tikrų apribojimų. WARMCOOKIE atveju tai gali sukelti Trojos virusų ar panašios kenkėjiškos programinės įrangos įdiegimą, praplėsdama infekcijos mastą ir sukeldama didesnę grėsmę paveiktoms sistemoms.