วอร์มคุกกี้ แบ็คดอร์
มัลแวร์แบ็คดอร์ เช่น WARMCOOK เป็นซอฟต์แวร์คุกคามที่สร้างขึ้นเพื่อหาประโยชน์จากช่องโหว่ของคอมพิวเตอร์ ทำให้สามารถเข้าถึงและควบคุมโดยไม่ได้รับอนุญาต โปรแกรมเหล่านี้มีจุดมุ่งหมายเพื่อสร้างจุดเริ่มต้นที่ซ่อนอยู่ ช่วยให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการติดตั้งมัลแวร์เพิ่มเติม แท้จริงแล้ว วัตถุประสงค์หลักของ WAMCOOKIE คือการอำนวยความสะดวกในการติดไวรัสเพิ่มเติมโดยการดาวน์โหลดและติดตั้งภัยคุกคามมัลแวร์ขั้นต่อไปบนระบบที่ถูกบุกรุก
ตัวแปรมัลแวร์นี้เรียกว่า WARMCOOKIE ได้รับการระบุตั้งแต่ต้นฤดูใบไม้ผลิปี 2024 และอาจมีเวอร์ชันก่อนหน้านั้นด้วยซ้ำ นักวิจัยเตือนว่า WARMCOOKIE มีการเผยแพร่ผ่านแคมเปญสแปมอีเมลแบบกำหนดเป้าหมาย ซึ่งผู้ใช้ที่ไม่สงสัยจะถูกหลอกให้เปิดไฟล์แนบที่เป็นอันตรายหรือคลิกลิงก์ที่ฉ้อโกง
อาชญากรไซเบอร์หลอกเหยื่อด้วยอีเมลฟิชชิ่ง
WARMCOOKIE ได้รับการเผยแพร่ผ่านแคมเปญอีเมลขยะแบบกำหนดเป้าหมายซึ่งใช้ธีมที่เกี่ยวข้องกับงานเพื่อล่อลวงผู้รับ อีเมลเหล่านี้แอบอ้างเป็นบริษัทจัดหางานที่ถูกต้องตามกฎหมาย โดยติดต่อกับเหยื่อด้วยชื่อจริง และให้รายละเอียด เช่น ตำแหน่งการจ้างงานในปัจจุบัน ทำให้ดูเหมือนเป็นข้อมูลจริง
ผู้รับถูกล่อลวงให้คลิกลิงก์ในอีเมล โดยเชื่อว่าลิงก์ดังกล่าวจะนำพวกเขาไปยังระบบภายในเพื่อตรวจสอบข้อเสนองาน อย่างไรก็ตาม ลิงก์นี้เปลี่ยนเส้นทางพวกเขาผ่านเว็บไซต์ที่ถูกบุกรุกหลายชุด ซึ่งมักโฮสต์บนโดเมนที่มีชื่อเสียง และนำไปสู่เว็บไซต์ที่เกี่ยวข้องกับการฉ้อโกงในท้ายที่สุด
บนหน้า Landing Page ซึ่งดูเหมือนจะเป็นส่วนหนึ่งของกระบวนการสรรหาเหยื่อ เหยื่อจะได้รับข้อมูลส่วนบุคคลเพื่อเพิ่มความน่าเชื่อถือ พวกเขาได้รับแจ้งให้ดาวน์โหลดเอกสารรายละเอียดข้อเสนองาน โดยต้องมีการทดสอบ CAPTCHA ก่อนดำเนินการต่อ
เมื่อ CAPTCHA เสร็จสิ้น เหยื่อจะดาวน์โหลดไฟล์ JavaScript ที่สร้างความสับสนโดยไม่รู้ตัว ไฟล์นี้รันสคริปต์ PowerShell ที่ออกแบบมาเพื่อแพร่เชื้อระบบด้วย Warmcookie สร้างการเข้าถึงประตูหลังและเริ่มกิจกรรมที่เป็นอันตรายเพิ่มเติม
แบ็คดอร์ WARMCOOKIE อาจทำให้เหยื่อได้รับภัยคุกคามจากมัลแวร์เพิ่มมากขึ้น
WARMCOOKIE แม้จะมีความสามารถค่อนข้างจำกัด แต่ก็มีบทบาทสำคัญในฐานะมัลแวร์แบ็คดอร์โดยเป็นจุดเริ่มต้นในการเข้าถึงเครือข่ายเป้าหมาย เช่นเดียวกับแบ็คดอร์อื่นๆ WARMCOOKIE ได้รับการออกแบบมาพร้อมคุณสมบัติป้องกันการวิเคราะห์เพื่อหลบเลี่ยงการตรวจจับ เช่น กลไกป้องกันการแก้ไขจุดบกพร่อง และความสามารถในการตรวจจับสภาพแวดล้อมแบบแซนด์บ็อกซ์ ยิ่งไปกว่านั้น ยังรับประกันความคงอยู่ด้วยการกำหนดเวลาให้ตัวเองทำงานทุกๆ สิบนาที ทำให้สามารถควบคุมระบบที่ถูกบุกรุกได้
เมื่อแทรกซึมได้สำเร็จ WARMCOOKIE จะเริ่มดำเนินการในสองขั้นตอน ในขั้นแรกจะรวบรวมข้อมูลที่จำเป็นจากเครื่องที่ติดไวรัส รวมถึงหมายเลขซีเรียลของวอลุ่ม โดเมน DNS ชื่ออุปกรณ์ และชื่อผู้ใช้ จากนั้นข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C&C) ของผู้โจมตี ซึ่งถูกฮาร์ดโค้ดลงในมัลแวร์
ในขั้นตอนที่สอง WARMCOOKIE ยังคงรวบรวมข้อมูลโดยมุ่งเน้นไปที่การแยกรายละเอียด CPU ที่อยู่ IP ของเหยื่อ และรายการซอฟต์แวร์ที่ติดตั้งที่ครอบคลุม รวมถึงชื่อ เวอร์ชัน และวันที่ติดตั้ง
WARMCOOKIE มีความสามารถในการรันคำสั่งต่างๆ บนระบบที่ติดไวรัส เช่น การอ่านไฟล์ จับภาพหน้าจอ และการดาวน์โหลดไฟล์เพิ่มเติมลงในอุปกรณ์ที่ถูกบุกรุก หน้าที่หลักอยู่ที่การดาวน์โหลดและติดตั้งมัลแวร์เพิ่มเติม ซึ่งจะทำให้การติดไวรัสดำเนินต่อไปได้
แม้ว่าในทางทฤษฎีจะมีศักยภาพในการแนะนำมัลแวร์ทุกประเภทเข้าสู่ระบบ แต่โดยทั่วไปแล้วมัลแวร์จะทำงานภายใต้ข้อจำกัดบางประการ ในกรณีของ WARMCOOKIE สิ่งนี้อาจนำไปสู่การติดตั้งไวรัสโทรจันหรือซอฟต์แวร์ที่เป็นอันตรายที่คล้ายกัน ขยายขอบเขตของการติดไวรัส และสร้างภัยคุกคามต่อระบบที่ได้รับผลกระทบมากขึ้น
