WARMCOOKIE Backdoor

Zlonamerna programska oprema za zakulisna vrata, kot je WARMCOOK, je nevarna programska oprema, ustvarjena za izkoriščanje ranljivosti računalnika, ki omogoča nepooblaščen dostop in nadzor. Cilj teh programov je vzpostavitev skrite vstopne točke, ki napadalcem omogoča izvajanje različnih škodljivih dejavnosti, vključno z namestitvijo dodatne zlonamerne programske opreme. Dejansko je glavni namen WAMCOOKIE omogočiti nadaljnje okužbe s prenosom in nameščanjem groženj zlonamerne programske opreme naslednje stopnje v ogrožene sisteme.

Ta različica zlonamerne programske opreme, znana kot WARMCOOKIE, je bila identificirana že spomladi 2024, potencialno pa so v obtoku še starejše različice. Raziskovalci opozarjajo, da se WARMCOOKIE aktivno distribuira prek ciljno usmerjenih kampanj z neželeno pošto, kjer nič hudega sluteče uporabnike zavedejo, da odprejo zlonamerne priponke ali kliknejo goljufive povezave.

Kibernetski kriminalci pretentajo žrtve z lažnim predstavljanjem e-pošte

WARMCOOKIE je bil distribuiran prek ciljno usmerjenih kampanj z neželeno pošto, ki so za privabljanje prejemnikov uporabljale teme, povezane z delom. Ta e-poštna sporočila so predstavljala legitimna podjetja za zaposlovanje, žrtve so naslavljala z njihovimi pravimi imeni in zagotavljala podrobnosti, kot je njihov trenutni položaj zaposlitve, zaradi česar so bile videti pristne.

Prejemnike so zvabili, da kliknejo na povezavo v e-pošti, saj so verjeli, da jih bo to pripeljalo do internega sistema za pregled ponudbe za delo. Vendar jih je ta povezava preusmerila skozi vrsto ogroženih spletnih mest, ki so pogosto gostovala na uglednih domenah, kar je na koncu vodilo do spletnega mesta, povezanega z goljufijami.

Na pristajalni strani, za katero se je zdelo, da je del procesa zaposlovanja, so bile žrtve predstavljene prilagojene informacije za povečanje verodostojnosti. Pozvani so bili, naj prenesejo dokument s podrobnostmi o ponudbi za delo, pred nadaljevanjem pa je bil potreben preizkus CAPTCHA.

Ko je bil CAPTCHA dokončan, so žrtve nevede prenesle zakrito datoteko JavaScript. Ta datoteka je izvedla skript PowerShell, ki je bil zasnovan za okužbo sistemov z Warmcookie, vzpostavitev dostopa skozi zadnja vrata in sprožitev nadaljnjih zlonamernih dejavnosti.

Zadnja vrata WARMCOOKIE bi lahko žrtve izpostavila več grožnjam zlonamerne programske opreme

WARMCOOKIE ima kljub razmeroma omejenim zmogljivostim ključno vlogo zlonamerne programske opreme za zakulisna vrata, saj zagotavlja začetno vstopno točko v ciljna omrežja. Kot mnoga stranska vrata je tudi WARMCOOKIE zasnovan s funkcijami proti analizi, da se izogne zaznavanju, kot so mehanizmi za odpravljanje napak in zmožnost zaznavanja okolij peskovnika. Poleg tega zagotavlja obstojnost tako, da se zažene vsakih deset minut, kar mu omogoča, da ohrani nadzor nad ogroženim sistemom.

Ko se uspešno infiltrira, WARMCOOKIE začne svoje operacije v dveh fazah. Na začetku zbere bistvene informacije iz okuženega računalnika, vključno s serijsko številko nosilca, domeno DNS, imenom naprave in uporabniškim imenom. Ti podatki se nato posredujejo napadalčevemu strežniku za ukazovanje in nadzor (C&C), ki je trdo kodiran v zlonamerno programsko opremo.

V svoji drugi fazi WARMCOOKIE nadaljuje z zbiranjem informacij, pri čemer se osredotoča na ekstrahiranje podrobnosti procesorja, naslova IP žrtve in obsežen seznam nameščene programske opreme, vključno z imeni, različicami in datumi namestitve.

WARMCOOKIE ima zmožnost izvajanja različnih ukazov na okuženih sistemih, kot so branje datotek, zajem posnetkov zaslona in prenos dodatnih datotek na ogrožene naprave. Njegova primarna funkcija je prenos in namestitev dodatne zlonamerne programske opreme, s čimer se nadaljujejo nadaljnje okužbe.

Medtem ko imajo zakulisna vrata teoretično potencial za vnos katere koli vrste zlonamerne programske opreme v sisteme, običajno delujejo znotraj določenih omejitev. V primeru WARMCOOKIE bi to lahko vodilo do namestitve trojanskih virusov ali podobne zlonamerne programske opreme, kar bi razširilo obseg okužbe in povzročilo večjo grožnjo prizadetim sistemom.