Backdoor WARMCOOKIE

Szkodliwe oprogramowanie typu backdoor, takie jak WARMCOOK, to groźne oprogramowanie stworzone w celu wykorzystania luk w zabezpieczeniach komputera i umożliwienia nieautoryzowanego dostępu i kontroli. Programy te mają na celu utworzenie ukrytego punktu wejścia, umożliwiającego atakującym przeprowadzenie różnych szkodliwych działań, w tym instalację dodatkowego złośliwego oprogramowania. Rzeczywiście, głównym celem WAMCOOKIE jest ułatwianie dalszych infekcji poprzez pobieranie i instalowanie zagrożeń złośliwym oprogramowaniem kolejnego etapu w zaatakowanych systemach.

Ten wariant szkodliwego oprogramowania, znany jako WARMCOOKIE, został zidentyfikowany już wiosną 2024 r., a w obiegu znajdowały się potencjalnie nawet wcześniejsze wersje. Badacze ostrzegają, że WARMCOOKIE jest aktywnie dystrybuowane poprzez ukierunkowane kampanie spamowe e-mailowe, podczas których niczego niepodejrzewający użytkownicy są namawiani do otwarcia złośliwych załączników lub kliknięcia fałszywych łączy.

Cyberprzestępcy oszukują ofiary za pomocą wiadomości e-mail phishingowych

WARMCOOKIE było dystrybuowane za pośrednictwem ukierunkowanych kampanii spamowych e-mailowych, które wykorzystywały tematykę związaną z pracą w celu zwabienia odbiorców. Te e-maile podszywały się pod legalne firmy rekrutacyjne, zwracały się do ofiar podając ich prawdziwe nazwiska i podając takie szczegóły, jak aktualne stanowisko pracy, dzięki czemu wyglądały autentycznie.

Odbiorców zachęcano do kliknięcia linku w wiadomości e-mail, wierząc, że zaprowadzi ich to do wewnętrznego systemu w celu sprawdzenia oferty pracy. Jednak ten link przekierowywał ich przez szereg zainfekowanych witryn internetowych, często hostowanych w renomowanych domenach, co ostatecznie prowadziło do witryny powiązanej z oszustwami.

Na stronie docelowej, która najwyraźniej stanowiła część procesu rekrutacji, ofiarom prezentowano spersonalizowane informacje w celu zwiększenia ich wiarygodności. Poproszono ich o pobranie dokumentu zawierającego szczegółowe informacje na temat oferty pracy, a przed kontynuowaniem wymagane było wykonanie testu CAPTCHA.

Po zakończeniu CAPTCHA ofiary nieświadomie pobierały zaciemniony plik JavaScript. Plik ten wykonywał skrypt PowerShell przeznaczony do infekowania systemów za pomocą Warmcookie, ustanawiania dostępu backdoorem i inicjowania dalszych szkodliwych działań.

Backdoor WARMCOOKIE może narazić ofiary na więcej zagrożeń złośliwym oprogramowaniem

WARMCOOKIE, pomimo swoich stosunkowo ograniczonych możliwości, pełni kluczową rolę szkodliwego oprogramowania typu backdoor, zapewniając początkowy punkt wejścia do docelowych sieci. Podobnie jak wiele backdoorów, WARMCOOKIE zaprojektowano z funkcjami zapobiegającymi analizie, aby uniknąć wykrycia, takimi jak mechanizmy zapobiegające debugowaniu i możliwość wykrywania środowisk piaskownicy. Co więcej, zapewnia trwałość, planując uruchamianie się co dziesięć minut, co pozwala mu zachować kontrolę nad zaatakowanym systemem.

Po pomyślnej infiltracji WARMCOOKIE inicjuje swoje działania w dwóch etapach. Początkowo zbiera istotne informacje z zainfekowanej maszyny, w tym numer seryjny woluminu, domenę DNS, nazwę urządzenia i nazwę użytkownika. Dane te są następnie przesyłane do serwera dowodzenia i kontroli (C&C) atakujących, który jest zakodowany na stałe w złośliwym oprogramowaniu.

Na drugim etapie WARMCOOKIE w dalszym ciągu gromadzi informacje, koncentrując się na wyodrębnieniu szczegółów procesora, adresu IP ofiary oraz obszernej listy zainstalowanego oprogramowania, w tym nazw, wersji i dat instalacji.

WARMCOOKIE posiada możliwość wykonywania różnych poleceń na zainfekowanych systemach, takich jak odczytywanie plików, przechwytywanie zrzutów ekranu i pobieranie dodatkowych plików na zaatakowane urządzenia. Jego podstawową funkcją jest pobieranie i instalowanie dodatkowego złośliwego oprogramowania, utrwalając w ten sposób dalsze infekcje.

Chociaż backdoory teoretycznie mogą wprowadzić do systemów wszelkiego rodzaju złośliwe oprogramowanie, zazwyczaj działają w ramach pewnych ograniczeń. W przypadku WARMCOOKIE może to prowadzić do instalacji wirusów trojańskich lub podobnego złośliwego oprogramowania, rozszerzając zakres infekcji i stwarzając większe zagrożenia dla dotkniętych systemów.