WARMCOOKIE Backdoor

Malvér typu backdoor, ako napríklad WARMCOOK, je hrozivý softvér vytvorený na zneužívanie zraniteľnosti počítača, ktorý umožňuje neoprávnený prístup a kontrolu. Cieľom týchto programov je vytvoriť skrytý vstupný bod, ktorý útočníkom umožňuje vykonávať rôzne škodlivé činnosti vrátane inštalácie ďalšieho škodlivého softvéru. Primárnym účelom WAMCOOKIE je skutočne uľahčiť ďalšie infekcie sťahovaním a inštaláciou hrozieb škodlivého softvéru ďalšej fázy do napadnutých systémov.

Tento variant malvéru, známy ako WARMCOOKIE, bol identifikovaný už na jar 2024, pričom v obehu môžu byť ešte staršie verzie. Výskumníci varujú, že WARMCOOKIE je aktívne distribuovaný prostredníctvom cielených e-mailových spamových kampaní, kde sú nič netušiaci používatelia oklamaní, aby otvorili škodlivé prílohy alebo klikli na podvodné odkazy.

Kyberzločinci oklamú obete phishingovými e-mailami

WARMCOOKIE bol distribuovaný prostredníctvom cielených spamových e-mailových kampaní, ktoré využívali témy súvisiace s prácou na prilákanie príjemcov. Tieto e-maily sa vydávali za legitímne náborové firmy, oslovovali obete ich skutočnými menami a poskytovali podrobnosti, ako je ich aktuálna pracovná pozícia, vďaka čomu vyzerali autenticky.

Príjemcovia sa nechali nalákať, aby klikli na odkaz v e-maile, pretože verili, že ich to privedie do interného systému, aby si prezreli pracovnú ponuku. Tento odkaz ich však presmeroval cez sériu napadnutých webových stránok, často hostených na renomovaných doménach, čo nakoniec viedlo k webovej stránke súvisiacej s podvodom.

Na vstupnej stránke, ktorá vyzerala ako súčasť náborového procesu, boli obetiam prezentované personalizované informácie na zvýšenie dôveryhodnosti. Boli vyzvaní, aby si stiahli dokument s podrobnosťami o pracovnej ponuke, pričom sa pred pokračovaním vyžaduje test CAPTCHA.

Po dokončení CAPTCHA si obete nevedomky stiahli zmätený súbor JavaScript. Tento súbor spustil skript PowerShell navrhnutý na infikovanie systémov pomocou Warmcookie, čím sa vytvoril prístup k zadným vrátkam a spustili sa ďalšie škodlivé aktivity.

WARMCOOKIE Backdoor by mohol vystaviť obete viacerým hrozbám malvéru

WARMCOOKIE, napriek svojim relatívne obmedzeným schopnostiam, zohráva kľúčovú úlohu ako backdoor malware tým, že poskytuje počiatočný vstupný bod do cielených sietí. Ako mnohé zadné vrátka, aj WARMCOOKIE je navrhnutý s funkciami antianalýzy, aby sa vyhli detekcii, ako sú mechanizmy proti ladeniu a schopnosť detegovať prostredia sandbox. Navyše zaisťuje vytrvalosť tým, že si naplánuje spustenie každých desať minút, čo mu umožňuje udržať kontrolu nad napadnutým systémom.

Po úspešnej infiltrácii WARMCOOKIE zaháji svoju činnosť v dvoch fázach. Spočiatku zhromažďuje základné informácie z infikovaného počítača vrátane sériového čísla zväzku, domény DNS, názvu zariadenia a používateľského mena. Tieto údaje sa potom prenesú na server Command-and-Control (C&C) útočníkov, ktorý je napevno zakódovaný do malvéru.

Vo svojej druhej fáze WARMCOOKIE pokračuje v zhromažďovaní informácií so zameraním na extrahovanie podrobností o CPU, IP adresy obete a komplexného zoznamu nainštalovaného softvéru vrátane mien, verzií a dátumov inštalácie.

WARMCOOKIE má schopnosť vykonávať rôzne príkazy na infikovaných systémoch, ako je čítanie súborov, zachytávanie snímok obrazovky a sťahovanie ďalších súborov do napadnutých zariadení. Jeho primárna funkcia spočíva v sťahovaní a inštalácii ďalšieho škodlivého softvéru, čím sa udržiavajú ďalšie infekcie.

Zatiaľ čo zadné vrátka teoreticky majú potenciál zaviesť akýkoľvek typ malvéru do systémov, zvyčajne fungujú v rámci určitých obmedzení. V prípade WARMCOOKIE by to mohlo viesť k inštalácii trójskych vírusov alebo podobného škodlivého softvéru, čo by rozšírilo rozsah infekcie a predstavovalo väčšiu hrozbu pre postihnuté systémy.