ВАРМЦООКИЕ Бацкдоор

Позадински злонамерни софтвер, као што је ВАРМЦООК, је претећи софтвер креиран да искоришћава рањивости рачунара, омогућавајући неовлашћени приступ и контролу. Ови програми имају за циљ успостављање скривене улазне тачке, омогућавајући нападачима да спроводе различите штетне активности, укључујући инсталацију додатног малвера. Заиста, примарна сврха ВАМЦООКИЕ-а је да олакша даље инфекције преузимањем и инсталирањем претњи од малвера следеће фазе на компромитоване системе.

Ова варијанта злонамерног софтвера, позната као ВАРМЦООКИЕ, идентификована је још у пролеће 2024. године, са потенцијално још ранијим верзијама у оптицају. Истраживачи упозоравају да се ВАРМЦООКИЕ активно дистрибуира путем циљаних кампања нежељене е-поште, где су несуђени корисници преварени да отворе злонамерне прилоге или кликну на лажне везе.

Сајбер-криминалци преваре жртве помоћу е-поште за пхисхинг

ВАРМЦООКИЕ је дистрибуиран путем циљаних кампања за нежељену е-пошту које су користиле теме везане за посао да би привукле примаоце. Ови мејлови су представљали легитимне фирме за запошљавање, обраћајући се жртвама њиховим правим именима и пружајући детаље попут њиховог тренутног радног места, чинећи их аутентичним.

Примаоци су били подвучени да кликну на линк у е-поруци, верујући да ће их то довести до интерног система за преглед понуде за посао. Међутим, ова веза их је преусмерила преко низа компромитованих веб локација, често хостованих на реномираним доменима, што је на крају довело до веб локације повезане са преварама.

На одредишној страници, која је изгледа била део процеса регрутовања, жртвама су представљене персонализоване информације како би се повећао кредибилитет. Од њих је затражено да преузму документ са детаљима о понуди за посао, са ЦАПТЦХА тестом који је потребан пре него што наставе.

Када је ЦАПТЦХА завршена, жртве су несвесно преузеле замагљени ЈаваСцрипт фајл. Ова датотека је извршила ПоверСхелл скрипту дизајнирану да зарази системе са Вармцоокие-ом, успостављајући бацкдоор приступ и иницирајући даље злонамерне активности.

ВАРМЦООКИЕ Бацкдоор би могао да изложи жртве више претњи од злонамерног софтвера

ВАРМЦООКИЕ, упркос својим релативно ограниченим могућностима, служи кључну улогу као бацкдоор малвер тако што пружа почетну улазну тачку у циљане мреже. Као и многа позадинска врата, ВАРМЦООКИЕ је дизајниран са функцијама против анализе како би се избегао откривање, као што су механизми против отклањања грешака и могућност откривања окружења у сандбок-у. Штавише, обезбеђује постојаност тако што се заказује да се покреће сваких десет минута, омогућавајући му да задржи контролу над компромитованим системом.

Када се успешно инфилтрира, ВАРМЦООКИЕ покреће своје операције у две фазе. У почетку, прикупља битне информације са заражене машине, укључујући серијски број волумена, ДНС домен, име уређаја и корисничко име. Ови подаци се затим преносе на сервер за команду и контролу (Ц&Ц) нападача, који је чврсто кодиран у малвер.

У својој другој фази, ВАРМЦООКИЕ наставља да прикупља информације, фокусирајући се на издвајање детаља ЦПУ-а, ИП адресе жртве и свеобухватне листе инсталираног софтвера, укључујући имена, верзије и датуме инсталације.

ВАРМЦООКИЕ поседује могућност да изврши различите команде на зараженим системима, као што су читање датотека, снимање снимака екрана и преузимање додатних датотека на компромитоване уређаје. Његова примарна функција лежи у преузимању и инсталирању додатног злонамерног софтвера, чиме се настављају даље инфекције.

Док бацкдоорс теоретски имају потенцијал да уведу било коју врсту малвера у системе, они обично раде у оквиру одређених ограничења. У случају ВАРМЦООКИЕ-а, ово би могло довести до инсталирања тројанских вируса или сличног злонамерног софтвера, проширујући обим инфекције и представљајући већу претњу за погођене системе.