ਵਾਰਮਕੂਕੀ ਬੈਕਡੋਰ

ਇੱਕ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ, ਜਿਵੇਂ ਕਿ WARMCOOK, ਇੱਕ ਧਮਕੀ ਭਰਿਆ ਸਾਫਟਵੇਅਰ ਹੈ ਜੋ ਕੰਪਿਊਟਰ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਨਿਯੰਤਰਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਇਹਨਾਂ ਪ੍ਰੋਗਰਾਮਾਂ ਦਾ ਉਦੇਸ਼ ਇੱਕ ਛੁਪਿਆ ਹੋਇਆ ਐਂਟਰੀ ਪੁਆਇੰਟ ਸਥਾਪਤ ਕਰਨਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਵਾਧੂ ਮਾਲਵੇਅਰ ਦੀ ਸਥਾਪਨਾ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ। ਦਰਅਸਲ, WAMCOOKIE ਦਾ ਮੁਢਲਾ ਉਦੇਸ਼ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਅਗਲੇ ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਸਥਾਪਿਤ ਕਰਕੇ ਹੋਰ ਲਾਗਾਂ ਦੀ ਸਹੂਲਤ ਦੇਣਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਰੂਪ, WARMCOOKIE ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਦੀ ਪਛਾਣ 2024 ਦੀ ਬਸੰਤ ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਕੀਤੀ ਗਈ ਸੀ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਪਹਿਲਾਂ ਦੇ ਸੰਸਕਰਣਾਂ ਦੇ ਨਾਲ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਹੈ ਕਿ WARMCOOKIE ਨੂੰ ਨਿਸ਼ਾਨਾ ਈਮੇਲ ਸਪੈਮ ਮੁਹਿੰਮਾਂ ਰਾਹੀਂ ਸਰਗਰਮੀ ਨਾਲ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ, ਜਿੱਥੇ ਸ਼ੱਕੀ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਤਰਨਾਕ ਅਟੈਚਮੈਂਟ ਖੋਲ੍ਹਣ ਜਾਂ ਧੋਖਾਧੜੀ ਵਾਲੇ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਪੀੜਤਾਂ ਨੂੰ ਧੋਖਾ ਦਿੰਦੇ ਹਨ

WARMCOOKIE ਨੂੰ ਨਿਸ਼ਾਨਾ ਸਪੈਮ ਈਮੇਲ ਮੁਹਿੰਮਾਂ ਦੁਆਰਾ ਵੰਡਿਆ ਗਿਆ ਸੀ ਜੋ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਨੌਕਰੀ ਨਾਲ ਸਬੰਧਤ ਥੀਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਨ। ਇਹਨਾਂ ਈਮੇਲਾਂ ਨੇ ਜਾਇਜ਼ ਭਰਤੀ ਫਰਮਾਂ ਦੀ ਨਕਲ ਕੀਤੀ, ਪੀੜਤਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਅਸਲ ਨਾਵਾਂ ਨਾਲ ਸੰਬੋਧਿਤ ਕੀਤਾ ਅਤੇ ਉਹਨਾਂ ਦੀ ਮੌਜੂਦਾ ਰੁਜ਼ਗਾਰ ਸਥਿਤੀ ਵਰਗੇ ਵੇਰਵੇ ਪ੍ਰਦਾਨ ਕੀਤੇ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਕ ਦਿਖਾਈ ਦਿੱਤਾ।

ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਈਮੇਲ ਵਿੱਚ ਇੱਕ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਭਰਮਾਇਆ ਗਿਆ ਸੀ, ਇਹ ਵਿਸ਼ਵਾਸ ਕਰਦੇ ਹੋਏ ਕਿ ਇਹ ਉਹਨਾਂ ਨੂੰ ਨੌਕਰੀ ਦੀ ਪੇਸ਼ਕਸ਼ ਦੀ ਸਮੀਖਿਆ ਕਰਨ ਲਈ ਇੱਕ ਅੰਦਰੂਨੀ ਪ੍ਰਣਾਲੀ ਵੱਲ ਲੈ ਜਾਵੇਗਾ। ਹਾਲਾਂਕਿ, ਇਸ ਲਿੰਕ ਨੇ ਉਹਨਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ ਦੀ ਇੱਕ ਲੜੀ ਰਾਹੀਂ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ, ਜੋ ਅਕਸਰ ਨਾਮਵਰ ਡੋਮੇਨਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਆਖਰਕਾਰ ਇੱਕ ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਵੈਬਸਾਈਟ ਵੱਲ ਜਾਂਦਾ ਹੈ।

ਲੈਂਡਿੰਗ ਪੰਨੇ 'ਤੇ, ਜੋ ਕਿ ਭਰਤੀ ਪ੍ਰਕਿਰਿਆ ਦਾ ਹਿੱਸਾ ਜਾਪਦਾ ਹੈ, ਪੀੜਤਾਂ ਨੂੰ ਭਰੋਸੇਯੋਗਤਾ ਵਧਾਉਣ ਲਈ ਵਿਅਕਤੀਗਤ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ। ਉਹਨਾਂ ਨੂੰ ਅੱਗੇ ਵਧਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਕੈਪਟਚਾ ਟੈਸਟ ਦੇ ਨਾਲ, ਨੌਕਰੀ ਦੀ ਪੇਸ਼ਕਸ਼ ਦਾ ਵੇਰਵਾ ਦੇਣ ਵਾਲਾ ਇੱਕ ਦਸਤਾਵੇਜ਼ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਿਹਾ ਗਿਆ ਸੀ।

ਇੱਕ ਵਾਰ ਕੈਪਟਚਾ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਪੀੜਤਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਇੱਕ ਗੁੰਝਲਦਾਰ JavaScript ਫਾਈਲ ਡਾਊਨਲੋਡ ਕੀਤੀ। ਇਸ ਫਾਈਲ ਨੇ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਇਆ ਹੈ ਜੋ ਸਿਸਟਮਾਂ ਨੂੰ Warmcookie ਨਾਲ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਬੈਕਡੋਰ ਐਕਸੈਸ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨਾ ਅਤੇ ਹੋਰ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨਾ।

WARMCOOKIE ਬੈਕਡੋਰ ਪੀੜਤਾਂ ਨੂੰ ਹੋਰ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰ ਸਕਦਾ ਹੈ

WARMCOOKIE, ਇਸਦੀਆਂ ਮੁਕਾਬਲਤਨ ਸੀਮਤ ਸਮਰੱਥਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਨਿਸ਼ਾਨੇ ਵਾਲੇ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਐਂਟਰੀ ਪੁਆਇੰਟ ਪ੍ਰਦਾਨ ਕਰਕੇ ਇੱਕ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਵਜੋਂ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦਾ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ਿਆਂ ਵਾਂਗ, WARMCOOKIE ਨੂੰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਵੇਂ ਕਿ ਐਂਟੀ-ਡੀਬਗਿੰਗ ਵਿਧੀ ਅਤੇ ਸੈਂਡਬੌਕਸ ਵਾਤਾਵਰਣਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਯੋਗਤਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਹਰ ਦਸ ਮਿੰਟਾਂ 'ਤੇ ਚਲਾਉਣ ਲਈ ਤਹਿ ਕਰਕੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਸਫਲਤਾਪੂਰਵਕ ਘੁਸਪੈਠ ਕਰਨ ਤੋਂ ਬਾਅਦ, WARMCOOKIE ਦੋ ਪੜਾਵਾਂ ਵਿੱਚ ਆਪਣਾ ਕੰਮ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ, ਇਹ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ ਤੋਂ ਜ਼ਰੂਰੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਵਾਲੀਅਮ ਸੀਰੀਅਲ ਨੰਬਰ, DNS ਡੋਮੇਨ, ਡਿਵਾਈਸ ਦਾ ਨਾਮ, ਅਤੇ ਉਪਭੋਗਤਾ ਨਾਮ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਡੇਟਾ ਫਿਰ ਹਮਲਾਵਰਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰ 'ਤੇ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਮਾਲਵੇਅਰ ਵਿੱਚ ਹਾਰਡਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਸਦੇ ਦੂਜੇ ਪੜਾਅ ਵਿੱਚ, WARMCOOKIE ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ, CPU ਵੇਰਵਿਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ, ਪੀੜਤ ਦਾ IP ਪਤਾ, ਅਤੇ ਨਾਮ, ਸੰਸਕਰਣ, ਅਤੇ ਸਥਾਪਨਾ ਮਿਤੀਆਂ ਸਮੇਤ ਇੰਸਟਾਲ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਦੀ ਇੱਕ ਵਿਆਪਕ ਸੂਚੀ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ।

WARMCOOKIE ਕੋਲ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਵੱਖ-ਵੱਖ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨਾ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਕੈਪਚਰ ਕਰਨਾ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਵਾਧੂ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ। ਇਸਦਾ ਮੁੱਖ ਕੰਮ ਵਾਧੂ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਸਥਾਪਿਤ ਕਰਨ ਵਿੱਚ ਹੈ, ਜਿਸ ਨਾਲ ਹੋਰ ਲਾਗਾਂ ਨੂੰ ਕਾਇਮ ਰੱਖਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਹਾਲਾਂਕਿ ਬੈਕਡੋਰ ਸਿਧਾਂਤਕ ਤੌਰ 'ਤੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਕਿਸੇ ਵੀ ਕਿਸਮ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਪੇਸ਼ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦੇ ਹਨ, ਉਹ ਖਾਸ ਤੌਰ 'ਤੇ ਕੁਝ ਪਾਬੰਦੀਆਂ ਦੇ ਅੰਦਰ ਕੰਮ ਕਰਦੇ ਹਨ। WARMCOOKIE ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਇਹ ਟ੍ਰੋਜਨ ਵਾਇਰਸ ਜਾਂ ਸਮਾਨ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਦੀ ਸਥਾਪਨਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਲਾਗ ਦੇ ਦਾਇਰੇ ਨੂੰ ਵਧਾ ਸਕਦਾ ਹੈ ਅਤੇ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ ਲਈ ਵਧੇਰੇ ਖਤਰੇ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ।