WARMCOOKIE Ușă din spate

Un malware de tip backdoor, cum ar fi WARMCOOK, este un software amenințător creat pentru a exploata vulnerabilitățile computerelor, permițând accesul și controlul neautorizat. Aceste programe urmăresc să stabilească un punct de intrare ascuns, permițând atacatorilor să desfășoare diferite activități dăunătoare, inclusiv instalarea de programe malware suplimentare. Într-adevăr, scopul principal al WAMCOOKIE este de a facilita infecțiile ulterioare prin descărcarea și instalarea amenințărilor malware din etapa următoare pe sistemele compromise.

Această variantă de malware, cunoscută sub numele de WARMCOOKIE, a fost identificată încă din primăvara lui 2024, cu versiuni potențial chiar și mai vechi în circulație. Cercetătorii avertizează că WARMCOOKIE este distribuit în mod activ prin campanii direcționate de spam prin e-mail, în care utilizatorii nebănuiți sunt păcăliți să deschidă atașamente rău intenționate sau să facă clic pe linkuri frauduloase.

Infractorii cibernetici păcălesc victimele cu e-mailuri de phishing

WARMCOOKIE a fost distribuit prin campanii de e-mail spam direcționate care foloseau teme legate de locul de muncă pentru a atrage destinatarii. Aceste e-mailuri au uzurpat identitatea unor firme de recrutare legitime, adresându-se victimelor pe numele lor reale și furnizând detalii precum poziția lor actuală de muncă, făcându-le să pară autentice.

Destinatarii au fost ademeniți să facă clic pe un link din e-mail, crezând că i-ar conduce către un sistem intern pentru a revizui o ofertă de muncă. Cu toate acestea, acest link i-a redirecționat printr-o serie de site-uri web compromise, adesea găzduite pe domenii de renume, conducând în cele din urmă la un site web legat de fraudă.

Pe pagina de destinație, care părea să facă parte din procesul de recrutare, victimelor li s-au prezentat informații personalizate pentru a spori credibilitatea. Li s-a cerut să descarce un document care detaliază oferta de muncă, cu un test CAPTCHA necesar înainte de a continua.

Odată ce CAPTCHA a fost finalizat, victimele au descărcat fără să știe un fișier JavaScript ofuscat. Acest fișier a executat un script PowerShell conceput să infecteze sistemele cu Warmcookie, stabilind accesul backdoor și inițiind alte activități rău intenționate.

Ușa din spate WARMCOOKIE ar putea expune victimele la mai multe amenințări malware

WARMCOOKIE, în ciuda capacităților sale relativ limitate, joacă un rol crucial ca malware backdoor, oferind un punct de intrare inițial în rețelele vizate. La fel ca multe uși din spate, WARMCOOKIE este proiectat cu funcții anti-analiza pentru a evita detectarea, cum ar fi mecanismele anti-depanare și capacitatea de a detecta mediile sandbox. Mai mult, asigură persistența programându-se să ruleze la fiecare zece minute, permițându-i să mențină controlul asupra sistemului compromis.

Odată infiltrat cu succes, WARMCOOKIE își inițiază operațiunile în două etape. Inițial, colectează informații esențiale de la mașina infectată, inclusiv numărul de serie al volumului, domeniul DNS, numele dispozitivului și numele de utilizator. Aceste date sunt apoi transmise serverului de comandă și control (C&C) al atacatorilor, care este codificat în malware.

În a doua etapă, WARMCOOKIE continuă să adune informații, concentrându-se pe extragerea detaliilor CPU, a adresei IP a victimei și a unei liste cuprinzătoare de software instalat, inclusiv nume, versiuni și date de instalare.

WARMCOOKIE are capacitatea de a executa diverse comenzi pe sistemele infectate, cum ar fi citirea fișierelor, capturarea de capturi de ecran și descărcarea de fișiere suplimentare pe dispozitivele compromise. Funcția sa principală constă în descărcarea și instalarea de programe malware suplimentare, perpetuând astfel infecțiile ulterioare.

În timp ce ușile din spate au, teoretic, potențialul de a introduce orice tip de malware în sisteme, ele funcționează de obicei în anumite constrângeri. În cazul WARMCOOKIE, acest lucru ar putea duce la instalarea de viruși troieni sau software rău intenționat similar, extinzând domeniul de aplicare a infecției și amenințări mai mari pentru sistemele afectate.