WARMCOOKIE Bakdörr

En bakdörr skadlig kod, som WARMCOOK, är en hotfull programvara som skapats för att utnyttja datorsårbarheter, vilket tillåter obehörig åtkomst och kontroll. Dessa program syftar till att skapa en dold ingångspunkt, vilket gör det möjligt för angripare att utföra olika skadliga aktiviteter, inklusive installation av ytterligare skadlig programvara. Det primära syftet med WAMCOOKIE är faktiskt att underlätta ytterligare infektioner genom att ladda ner och installera skadliga hot i nästa steg på komprometterade system.

Denna malware-variant, känd som WARMCOOKIE, har identifierats så tidigt som våren 2024, med potentiellt ännu tidigare versioner i omlopp. Forskare varnar för att WARMCOOKIE aktivt distribueras genom riktade spamkampanjer med e-post, där intet ont anande användare luras att öppna skadliga bilagor eller klicka på bedrägliga länkar.

Cyberkriminella lurar offer med nätfiske-e-post

WARMCOOKIE distribuerades genom riktade spam-e-postkampanjer som använde jobbrelaterade teman för att locka mottagare. Dessa e-postmeddelanden efterliknade legitima rekryteringsföretag, adresserade offren med deras riktiga namn och lämnade detaljer som deras nuvarande anställningsposition, vilket fick dem att framstå som autentiska.

Mottagarna lockades att klicka på en länk i mejlet, i tron att det skulle leda dem till ett internt system för att granska ett jobberbjudande. Men den här länken omdirigerade dem genom en rad komprometterade webbplatser, ofta värd på välrenommerade domäner, vilket i slutändan ledde till en bedrägerierelaterad webbplats.

På landningssidan, som verkade vara en del av rekryteringsprocessen, presenterades offer med personlig information för att öka trovärdigheten. De uppmanades att ladda ner ett dokument som beskriver jobberbjudandet, med ett CAPTCHA-test som krävs innan de fortsätter.

När CAPTCHA var klar laddade offren omedvetet ner en förvirrad JavaScript-fil. Den här filen körde ett PowerShell-skript designat för att infektera system med Warmcookie, etablera bakdörrsåtkomsten och initiera ytterligare skadliga aktiviteter.

WARMCOOKIE-bakdörren kan utsätta offer för fler hot mot skadlig programvara

WARMCOOKIE, trots sin relativt begränsade kapacitet, tjänar en avgörande roll som bakdörr skadlig kod genom att tillhandahålla en första ingångspunkt till riktade nätverk. Liksom många bakdörrar är WARMCOOKIE designad med antianalysfunktioner för att undvika upptäckt, såsom anti-felsökningsmekanismer och förmågan att upptäcka sandlådemiljöer. Dessutom säkerställer den uthållighet genom att schemalägga sig själv att köra var tionde minut, vilket gör att den kan behålla kontrollen över det komprometterade systemet.

När den väl har infiltrerats, inleder WARMCOOKIE sin verksamhet i två steg. Inledningsvis samlar den in viktig information från den infekterade maskinen, inklusive volymens serienummer, DNS-domän, enhetsnamn och användarnamn. Dessa data överförs sedan till angriparnas Command-and-Control-server (C&C), som är hårdkodad i skadlig programvara.

I sitt andra steg fortsätter WARMCOOKIE att samla in information, med fokus på att extrahera CPU-detaljer, offrets IP-adress och en omfattande lista över installerad programvara, inklusive namn, versioner och installationsdatum.

WARMCOOKIE har förmågan att utföra olika kommandon på infekterade system, som att läsa filer, ta skärmdumpar och ladda ner ytterligare filer till komprometterade enheter. Dess primära funktion ligger i att ladda ner och installera ytterligare skadlig programvara, och därigenom upprätthålla ytterligare infektioner.

Även om bakdörrar teoretiskt sett har potential att introducera alla typer av skadlig programvara i system, fungerar de vanligtvis inom vissa begränsningar. När det gäller WARMCOOKIE kan detta leda till installation av trojanska virus eller liknande skadlig programvara, utöka infektionens omfattning och utgöra större hot mot de drabbade systemen.