WARMCOOKIE Bakdør
En bakdør skadelig programvare, for eksempel WARMCOOK, er en truende programvare opprettet for å utnytte datamaskinsårbarheter, som tillater uautorisert tilgang og kontroll. Disse programmene tar sikte på å etablere et skjult inngangspunkt, slik at angripere kan utføre ulike skadelige aktiviteter, inkludert installasjon av ytterligere skadelig programvare. Faktisk er hovedformålet med WAMCOOKIE å lette ytterligere infeksjoner ved å laste ned og installere neste trinn av malware-trusler på kompromitterte systemer.
Denne malware-varianten, kjent som WARMCOOKIE, har blitt identifisert så tidlig som våren 2024, med potensielt enda tidligere versjoner i omløp. Forskere advarer om at WARMCOOKIE aktivt distribueres gjennom målrettede spamkampanjer på e-post, der intetanende brukere blir lurt til å åpne ondsinnede vedlegg eller klikke på falske lenker.
Nettkriminelle lurer ofre med phishing-e-poster
WARMCOOKIE ble distribuert gjennom målrettede spam-e-postkampanjer som brukte jobbrelaterte temaer for å lokke mottakere. Disse e-postene etterlignet legitime rekrutteringsfirmaer, adresserte ofrene med deres virkelige navn og ga detaljer som deres nåværende ansettelsesstilling, slik at de fremstår som autentiske.
Mottakere ble lokket til å klikke på en lenke i e-posten, i troen på at det ville føre dem til et internt system for å gjennomgå et jobbtilbud. Imidlertid omdirigerte denne koblingen dem gjennom en rekke kompromitterte nettsteder, ofte vert på anerkjente domener, noe som til slutt førte til et svindelrelatert nettsted.
På landingssiden, som så ut til å være en del av rekrutteringsprosessen, ble ofrene presentert med personlig informasjon for å øke troverdigheten. De ble bedt om å laste ned et dokument som beskriver jobbtilbudet, med en CAPTCHA-test nødvendig før de fortsetter.
Når CAPTCHA var fullført, lastet ofrene ubevisst ned en skjult JavaScript-fil. Denne filen utførte et PowerShell-skript designet for å infisere systemer med Warmcookie, etablere bakdørstilgangen og sette i gang ytterligere ondsinnede aktiviteter.
WARMCOOKIE-bakdøren kan utsette ofre for flere trusler mot skadelig programvare
WARMCOOKIE, til tross for sine relativt begrensede muligheter, tjener en avgjørende rolle som bakdørs skadevare ved å gi et første inngangspunkt til målrettede nettverk. Som mange bakdører er WARMCOOKIE designet med antianalysefunksjoner for å unngå deteksjon, som anti-feilsøkingsmekanismer og muligheten til å oppdage sandkassemiljøer. Dessuten sikrer den utholdenhet ved å planlegge å kjøre hvert tiende minutt, slik at den kan opprettholde kontrollen over det kompromitterte systemet.
Så snart WARMCOOKIE har infiltrert, starter den sin virksomhet i to trinn. Til å begynne med samler den inn viktig informasjon fra den infiserte maskinen, inkludert volumserienummer, DNS-domene, enhetsnavn og brukernavn. Disse dataene blir deretter overført til angripernes Command-and-Control-server (C&C), som er hardkodet inn i skadelig programvare.
I den andre fasen fortsetter WARMCOOKIE å samle informasjon, med fokus på å trekke ut CPU-detaljer, offerets IP-adresse og en omfattende liste over installert programvare, inkludert navn, versjoner og installasjonsdatoer.
WARMCOOKIE har muligheten til å utføre ulike kommandoer på infiserte systemer, for eksempel å lese filer, ta skjermbilder og laste ned flere filer til kompromitterte enheter. Dens primære funksjon ligger i å laste ned og installere ytterligere skadelig programvare, og dermed opprettholde ytterligere infeksjoner.
Mens bakdører teoretisk sett har potensial til å introdusere alle typer skadelig programvare i systemer, opererer de vanligvis innenfor visse begrensninger. Når det gjelder WARMCOOKIE, kan dette føre til installasjon av trojanske virus eller lignende skadelig programvare, utvide omfanget av infeksjonen og utgjøre større trusler mot berørte systemer.
