WARMCOOKIE aizmugures durvis
Aizmugurējo durvju ļaunprātīga programmatūra, piemēram, WARMCOOK, ir draudoša programmatūra, kas izveidota, lai izmantotu datora ievainojamības, ļaujot nesankcionēti piekļūt un kontrolēt. Šo programmu mērķis ir izveidot slēptu ieejas punktu, kas ļauj uzbrucējiem veikt dažādas kaitīgas darbības, tostarp instalēt papildu ļaunprātīgu programmatūru. Patiešām, WAMCOOKIE galvenais mērķis ir veicināt turpmāku inficēšanos, lejupielādējot un instalējot nākamās pakāpes ļaunprātīgas programmatūras draudus uzlauztajās sistēmās.
Šis ļaunprogrammatūras variants, kas pazīstams kā WARMCOOKIE, tika identificēts jau 2024. gada pavasarī, un, iespējams, apritē ir pat agrākas versijas. Pētnieki brīdina, ka WARMCOOKIE tiek aktīvi izplatīts ar mērķtiecīgām e-pasta surogātpasta kampaņām, kurās nenojaušot lietotājus krāpj atvērt ļaunprātīgus pielikumus vai noklikšķināt uz krāpnieciskām saitēm.
Kibernoziedznieki apmāna upurus ar pikšķerēšanas e-pastiem
WARMCOOKIE tika izplatīts, izmantojot mērķtiecīgas surogātpasta e-pasta kampaņas, kurās tika izmantotas ar darbu saistītas tēmas, lai piesaistītu adresātus. Šajos e-pasta ziņojumos tika uzdota likumīgas personāla atlases firmas, upurus uzrunājot viņu īstajos vārdos un sniedzot informāciju, piemēram, viņu pašreizējo darba vietu, tādējādi padarot tos autentiskus.
Saņēmēji tika mudināti noklikšķināt uz saites e-pastā, uzskatot, ka tas viņus novedīs pie iekšējās sistēmas, lai pārskatītu darba piedāvājumu. Tomēr šī saite viņus novirzīja caur virkni uzlauztu vietņu, kas bieži tiek mitinātas cienījamos domēnos, galu galā novedot pie vietnes, kas saistīta ar krāpšanu.
Galvenajā lapā, kas, šķiet, bija daļa no vervēšanas procesa, upuriem tika sniegta personalizēta informācija, lai palielinātu uzticamību. Viņiem tika piedāvāts lejupielādēt dokumentu, kurā sīki aprakstīts darba piedāvājums, un pirms turpināšanas bija nepieciešams CAPTCHA tests.
Kad CAPTCHA bija pabeigta, upuri neapzināti lejupielādēja aptumšotu JavaScript failu. Šis fails izpildīja PowerShell skriptu, kas paredzēts, lai inficētu sistēmas ar Warmcookie, izveidojot aizmugures piekļuvi un ierosinot turpmākas ļaunprātīgas darbības.
WARMCOOKIE Backdoor varētu pakļaut upurus lielākam ļaunprātīgas programmatūras draudiem
WARMCOOKIE, neraugoties uz salīdzinoši ierobežotajām iespējām, pilda izšķirošu lomu kā aizmugures ļaunprātīga programmatūra, nodrošinot sākotnējo ieejas punktu mērķa tīklos. Tāpat kā daudzas aizmugures durvis, arī WARMCOOKIE ir izstrādātas ar pretanalīzes funkcijām, lai izvairītos no atklāšanas, piemēram, pretatkļūdošanas mehānismiem un spēju noteikt smilškastes vidi. Turklāt tas nodrošina noturību, ieplānojot sevi darboties ik pēc desmit minūtēm, ļaujot tai saglabāt kontroli pār apdraudēto sistēmu.
Pēc veiksmīgas infiltrācijas WARMCOOKIE sāk savu darbību divos posmos. Sākotnēji tas apkopo būtisku informāciju no inficētās iekārtas, tostarp sējuma sērijas numuru, DNS domēnu, ierīces nosaukumu un lietotājvārdu. Pēc tam šie dati tiek pārsūtīti uz uzbrucēja Command-and-Control (C&C) serveri, kas ir iekodēts ļaunprātīgajā programmā.
Otrajā posmā WARMCOOKIE turpina vākt informāciju, koncentrējoties uz CPU detaļu izgūšanu, upura IP adresi un visaptverošu instalētās programmatūras sarakstu, ieskaitot nosaukumus, versijas un instalēšanas datumus.
WARMCOOKIE spēj izpildīt dažādas komandas inficētajās sistēmās, piemēram, lasīt failus, tvert ekrānuzņēmumus un lejupielādēt papildu failus uz apdraudētām ierīcēm. Tās galvenā funkcija ir lejupielādēt un instalēt papildu ļaunprātīgu programmatūru, tādējādi saglabājot turpmākas infekcijas.
Lai gan teorētiski aizmugures durvīm ir iespēja sistēmās ieviest jebkāda veida ļaunprātīgu programmatūru, tās parasti darbojas, ievērojot noteiktus ierobežojumus. WARMCOOKIE gadījumā tas var novest pie Trojas vīrusu vai līdzīgas ļaunprātīgas programmatūras instalēšanas, paplašinot infekcijas apjomu un radot lielākus draudus ietekmētajām sistēmām.
