ТЁПЛОЕ ПЕЧЕНЬЕ Бэкдор

Вредоносное ПО с бэкдором, такое как WARMCOOK, представляет собой угрожающее программное обеспечение, созданное для использования уязвимостей компьютера и обеспечивающее несанкционированный доступ и контроль. Целью этих программ является создание скрытой точки входа, позволяющей злоумышленникам выполнять различные вредоносные действия, включая установку дополнительных вредоносных программ. Действительно, основная цель WAMCOOKIE — облегчить дальнейшее заражение путем загрузки и установки вредоносных программ следующего этапа на скомпрометированные системы.

Этот вариант вредоносного ПО, известный как WARMCOOKIE, был идентифицирован еще весной 2024 года, возможно, в обращении находятся еще более ранние версии. Исследователи предупреждают, что WARMCOOKIE активно распространяется через целевые спам-кампании по электронной почте, в ходе которых ничего не подозревающих пользователей обманом заставляют открывать вредоносные вложения или нажимать на мошеннические ссылки.

Киберпреступники обманывают жертв с помощью фишинговых писем

WARMCOOKIE распространялся посредством целевых рассылок спама по электронной почте, в которых использовались темы, связанные с работой, чтобы заманить получателей. Эти электронные письма выдавали себя за законные рекрутинговые компании, обращаясь к жертвам по их настоящим именам и предоставляя такие подробности, как их нынешняя должность, что делало их похожими на подлинные.

Получателей соблазняли нажать на ссылку в электронном письме, полагая, что это приведет их к внутренней системе для рассмотрения предложения о работе. Однако эта ссылка перенаправляла их через ряд взломанных веб-сайтов, часто размещенных на авторитетных доменах, что в конечном итоге приводило к веб-сайту, связанному с мошенничеством.

На целевой странице, которая, судя по всему, была частью процесса вербовки, жертвам была представлена персонализированная информация для повышения доверия. Им было предложено загрузить документ с подробным описанием предложения о работе и пройти тест CAPTCHA, прежде чем продолжить.

После завершения CAPTCHA жертвы по незнанию загружали запутанный файл JavaScript. Этот файл запускал сценарий PowerShell, предназначенный для заражения систем с помощью Warmcookie, устанавливая бэкдор-доступ и инициируя дальнейшие вредоносные действия.

Бэкдор WARMCOOKIE может подвергнуть жертв еще большему количеству угроз вредоносного ПО

WARMCOOKIE, несмотря на свои относительно ограниченные возможности, играет решающую роль в качестве вредоносного ПО с бэкдором, обеспечивая начальную точку входа в целевые сети. Как и многие бэкдоры, WARMCOOKIE имеет функции антианализа, позволяющие избежать обнаружения, такие как механизмы защиты от отладки и способность обнаруживать изолированные среды. Более того, он обеспечивает постоянство, планируя запуск каждые десять минут, что позволяет ему сохранять контроль над скомпрометированной системой.

После успешного проникновения WARMCOOKIE начинает свою работу в два этапа. Первоначально он собирает важную информацию с зараженной машины, включая серийный номер тома, домен DNS, имя устройства и имя пользователя. Затем эти данные передаются на сервер управления и контроля (C&C) злоумышленников, который жестко запрограммирован во вредоносном ПО.

На втором этапе WARMCOOKIE продолжает собирать информацию, концентрируясь на извлечении сведений о процессоре, IP-адресе жертвы и полном списке установленного программного обеспечения, включая названия, версии и даты установки.

WARMCOOKIE обладает способностью выполнять на зараженных системах различные команды, такие как чтение файлов, создание снимков экрана и загрузка дополнительных файлов на зараженные устройства. Его основная функция заключается в загрузке и установке дополнительных вредоносных программ, тем самым способствуя дальнейшему заражению.

Хотя бэкдоры теоретически способны внедрить в системы любые типы вредоносных программ, они обычно действуют в рамках определенных ограничений. В случае WARMCOOKIE это может привести к установке троянских вирусов или аналогичного вредоносного программного обеспечения, расширяя сферу заражения и создавая большую угрозу для затронутых систем.