WARMCOOKIE Backdoor

Um malware backdoor como o WARMCOOKIE é um sofware ameaçdor, criado para explorar vulnerabilidades de computador, permitindo acesso e controle não autorizados. Esses programas visam estabelecer um ponto de entrada oculto, permitindo que os invasores realizem diversas atividades prejudiciais, incluindo a instalação de malware adicional. Na verdade, o objetivo principal do WAMCOOKIE é facilitar novas infecções, baixando e instalando ameaças de malware de próximo estágio em sistemas comprometidos.

 O WARMCOOKIE, foi identificada já na primavera de 2024, com versões potencialmente ainda mais antigas em circulação. Os pesquisadores alertam que o WARMCOOKIE é distribuído ativamente por meio de campanhas direcionadas de spam por e-mail, onde usuários desavisados são induzidos a abrir anexos maliciosos ou clicar em links fraudulentos.

Os Cibercriminosos Enganam as Vítimas com E-Mails Phishing

O WARMCOOKIE foi distribuído por meio de campanhas direcionadas de spam por e-mail que usavam temas relacionados ao trabalho para atrair destinatários. Esses e-mails se faziam passar por empresas de recrutamento legítimas, abordando as vítimas pelos seus nomes reais e fornecendo detalhes como seu cargo atual, fazendo com que parecessem autênticas.

Os destinatários foram incentivados a clicar em um link do e-mail, acreditando que isso os levaria a um sistema interno para revisar uma oferta de emprego. No entanto, este link os redirecionou através de uma série de sites comprometidos, muitas vezes hospedados em domínios confiáveis, levando a um site relacionado a fraudes.

Na página inicial, que parecia fazer parte do processo de recrutamento, as vítimas recebiam informações personalizadas para aumentar a credibilidade. Eles foram solicitados a baixar um documento detalhando a oferta de emprego, sendo necessário um teste CAPTCHA antes de prosseguir.

Depois que o CAPTCHA foi concluído, as vítimas baixaram, sem saber, um arquivo JavaScript ofuscado. Este arquivo executou um script do PowerShell projetado para infectar sistemas com Warmcookie, estabelecendo o acesso backdoor e iniciando outras atividades maliciosas.

O Backdoor WARMCOOKIE pode Expor as Vítimas a Outras Ameaças de Malware

O WARMCOOKIE, apesar de suas capacidades relativamente limitadas, desempenha um papel crucial como malware backdoor, fornecendo um ponto de entrada inicial em redes visadas. Como muitos backdoors, o WARMCOOKIE foi projetado com recursos anti-análise para evitar a detecção, como mecanismos anti-depuração e a capacidade de detectar ambientes sandbox. Além disso, garante persistência programando-se para ser executado a cada dez minutos, permitindo manter o controle sobre o sistema comprometido.

Uma vez infiltrado com sucesso, o WARMCOOKIE inicia suas operações em dois estágios. Inicialmente, ele coleta informações essenciais da máquina infectada, incluindo número de série do volume, domínio DNS, nome do dispositivo e nome de usuário. Esses dados são então transmitidos ao servidor de Comando e Controle (C&C) dos invasores, que é codificado no malware.

Na sua segunda fase, o WARMCOOKIE continua a recolher informações, concentrando-se na extração de detalhes da CPU, o endereço de IP da vítima e uma lista abrangente de software instalado, incluindo nomes, versões e datas de instalação.

O WARMCOOKIE possui a capacidade de executar vários comandos em sistemas infectados, como leitura de arquivos, captura de tela e download de arquivos adicionais em dispositivos comprometidos. A sua função principal consiste em descarregar e instalar malware adicional, perpetuando assim novas infecções.

Embora os backdoors teoricamente tenham o potencial de introduzir qualquer tipo de malware nos sistemas, eles normalmente operam dentro de certas restrições. No caso do WARMCOOKIE, isto pode levar à instalação de vírus trojan ou software malicioso semelhante, alargando o âmbito da infecção e representando ameaças maiores aos sistemas afetados.