Ngrohtë Backdoor

Një malware me dyer të pasme, siç është WARMCOOK, është një softuer kërcënues i krijuar për të shfrytëzuar dobësitë e kompjuterit, duke lejuar akses dhe kontroll të paautorizuar. Këto programe synojnë të krijojnë një pikë hyrjeje të fshehur, duke u mundësuar sulmuesve të kryejnë aktivitete të ndryshme të dëmshme, duke përfshirë instalimin e malware shtesë. Në të vërtetë, qëllimi kryesor i WAMCOOKIE është të lehtësojë infeksionet e mëtejshme duke shkarkuar dhe instaluar kërcënime malware të fazës tjetër në sistemet e komprometuara.

Ky variant malware, i njohur si WARMCOOKIE, është identifikuar që në pranverën e vitit 2024, me versione potencialisht edhe më të hershme në qarkullim. Studiuesit paralajmërojnë se WARMCOOKIE shpërndahet në mënyrë aktive përmes fushatave të synuara të postës elektronike të spam-it, ku përdoruesit e paditur mashtrohen për të hapur bashkëngjitje me qëllim të keq ose duke klikuar në lidhje mashtruese.

Kriminelët kibernetikë mashtrojnë viktimat me email phishing

WARMCOOKIE u shpërnda përmes fushatave të synuara të postës elektronike të padëshiruara që përdorën tema të lidhura me punën për të joshur marrësit. Këto emaile imitonin firmat legjitime të rekrutimit, duke iu drejtuar viktimave me emrat e tyre të vërtetë dhe duke ofruar detaje si pozicioni i tyre aktual i punësimit, duke i bërë ato të duken autentike.

Marrësit u joshën të klikonin në një lidhje në email, duke besuar se kjo do t'i çonte në një sistem të brendshëm për të shqyrtuar një ofertë pune. Sidoqoftë, kjo lidhje i ridrejtoi ato përmes një sërë faqesh interneti të komprometuara, shpesh të organizuara në domene me reputacion, duke çuar përfundimisht në një faqe interneti të lidhur me mashtrimin.

Në faqen e uljes, e cila dukej se ishte pjesë e procesit të rekrutimit, viktimave iu paraqitën informacione të personalizuara për të rritur besueshmërinë. Ata u nxitën të shkarkonin një dokument që detajonte ofertën e punës, me një test CAPTCHA të kërkuar përpara se të vazhdonin.

Pasi u përfundua CAPTCHA, viktimat pa e ditur shkarkonin një skedar JavaScript të turbullt. Ky skedar ekzekutoi një skrip PowerShell të krijuar për të infektuar sistemet me Warmcookie, duke krijuar aksesin e pasme dhe duke filluar aktivitete të mëtejshme me qëllim të keq.

Backdoor WARMCOOKIE mund t'i ekspozojë viktimat ndaj më shumë kërcënimeve malware

WARMCOOKIE, megjithë aftësitë e tij relativisht të kufizuara, shërben një rol vendimtar si një malware me dyer të pasme duke ofruar një pikë hyrëse fillestare në rrjetet e synuara. Ashtu si shumë dyer të pasme, WARMCOOKIE është projektuar me veçori anti-analizë për të shmangur zbulimin, si mekanizmat kundër korrigjimit dhe aftësinë për të zbuluar mjediset e sandbox. Për më tepër, ai siguron këmbëngulje duke e planifikuar veten për të ekzekutuar çdo dhjetë minuta, duke e lejuar atë të mbajë kontrollin mbi sistemin e komprometuar.

Pasi të jetë infiltruar me sukses, WARMCOOKIE fillon operacionet e tij në dy faza. Fillimisht, ai mbledh informacion thelbësor nga makina e infektuar, duke përfshirë numrin serial të vëllimit, domenin DNS, emrin e pajisjes dhe emrin e përdoruesit. Këto të dhëna më pas transmetohen në serverin Command-and-Control (C&C) të sulmuesve, i cili është i koduar në malware.

Në fazën e dytë, WARMCOOKIE vazhdon të mbledhë informacione, duke u fokusuar në nxjerrjen e detajeve të CPU-së, adresën IP të viktimës dhe një listë të plotë të softuerit të instaluar, duke përfshirë emrat, versionet dhe datat e instalimit.

WARMCOOKIE zotëron aftësinë për të ekzekutuar komanda të ndryshme në sistemet e infektuara, të tilla si leximi i skedarëve, kapja e pamjeve të ekranit dhe shkarkimi i skedarëve shtesë në pajisjet e komprometuara. Funksioni i tij kryesor qëndron në shkarkimin dhe instalimin e malware shtesë, duke përjetësuar kështu infeksione të mëtejshme.

Ndërkohë që portat e pasme teorikisht kanë potencialin për të futur çdo lloj malware në sisteme, ato zakonisht funksionojnë brenda disa kufizimeve. Në rastin e WARMCOOKIE, kjo mund të çojë në instalimin e viruseve trojan ose programeve të ngjashme me qëllim të keq, duke zgjeruar shtrirjen e infeksionit dhe duke paraqitur kërcënime më të mëdha për sistemet e prekura.