WARMCOOKIE Backdoor

Ang backdoor malware, gaya ng WARMCOOK, ay isang nagbabantang software na nilikha upang pagsamantalahan ang mga kahinaan sa computer, na nagpapahintulot sa hindi awtorisadong pag-access at kontrol. Nilalayon ng mga program na ito na magtatag ng isang nakatagong entry point, na nagbibigay-daan sa mga umaatake na magsagawa ng iba't ibang nakakapinsalang aktibidad, kabilang ang pag-install ng karagdagang malware. Sa katunayan, ang pangunahing layunin ng WAMCOOKIE ay upang mapadali ang mga karagdagang impeksyon sa pamamagitan ng pag-download at pag-install ng mga susunod na yugto ng mga banta ng malware sa mga nakompromisong system.

Ang variant ng malware na ito, na kilala bilang WARMCOOKIE, ay natukoy noong tagsibol ng 2024, na may potensyal na mas naunang mga bersyon sa sirkulasyon. Nagbabala ang mga mananaliksik na ang WARMCOOKIE ay aktibong ipinamamahagi sa pamamagitan ng mga naka-target na email spam campaign, kung saan ang mga hindi mapag-aalinlanganang user ay nalinlang sa pagbubukas ng mga nakakahamak na attachment o pag-click sa mga mapanlinlang na link.

Nililinlang ng mga Cybercriminal ang mga Biktima gamit ang Mga Email ng Phishing

Ang WARMCOOKIE ay ipinamahagi sa pamamagitan ng mga naka-target na spam na email campaign na gumamit ng mga temang may kaugnayan sa trabaho upang akitin ang mga tatanggap. Ang mga email na ito ay nagpapanggap bilang mga lehitimong recruitment firm, tinutugunan ang mga biktima sa pamamagitan ng kanilang mga tunay na pangalan at nagbibigay ng mga detalye tulad ng kanilang kasalukuyang posisyon sa trabaho, na ginagawang magmukhang tunay ang mga ito.

Naengganyo ang mga tatanggap na mag-click sa isang link sa email, sa paniniwalang dadalhin sila nito sa isang panloob na sistema upang suriin ang isang alok na trabaho. Gayunpaman, ini-redirect sila ng link na ito sa pamamagitan ng isang serye ng mga nakompromisong website, kadalasang naka-host sa mga mapagkakatiwalaang domain, na humahantong sa isang website na nauugnay sa panloloko.

Sa landing page, na tila bahagi ng proseso ng recruitment, ang mga biktima ay binigyan ng personalized na impormasyon upang mapahusay ang kredibilidad. Na-prompt silang mag-download ng dokumentong nagdedetalye sa alok ng trabaho, na may kinakailangang pagsusulit sa CAPTCHA bago magpatuloy.

Kapag nakumpleto na ang CAPTCHA, hindi sinasadyang nag-download ang mga biktima ng na-obfuscate na JavaScript file. Ang file na ito ay nagsagawa ng isang PowerShell script na idinisenyo upang mahawahan ang mga system gamit ang Warmcookie, na nagtatatag ng backdoor access at nagpasimula ng higit pang mga nakakahamak na aktibidad.

Maaaring Ilantad ng WARMCOOKIE Backdoor ang mga Biktima sa Higit pang Mga Banta sa Malware

Ang WARMCOOKIE, sa kabila ng medyo limitadong mga kakayahan nito, ay nagsisilbi ng mahalagang papel bilang backdoor malware sa pamamagitan ng pagbibigay ng paunang entry point sa mga target na network. Tulad ng maraming backdoors, ang WARMCOOKIE ay idinisenyo na may mga anti-analysis na feature para makaiwas sa pagtuklas, gaya ng mga anti-debugging na mekanismo at kakayahang makakita ng mga sandbox environment. Bukod dito, tinitiyak nito ang pagtitiyaga sa pamamagitan ng pag-iskedyul ng sarili nito na tumakbo bawat sampung minuto, na nagbibigay-daan dito na mapanatili ang kontrol sa nakompromisong sistema.

Kapag matagumpay na nakapasok, sisimulan ng WARMCOOKIE ang mga operasyon nito sa dalawang yugto. Sa una, kinokolekta nito ang mahahalagang impormasyon mula sa nahawaang makina, kabilang ang volume serial number, DNS domain, pangalan ng device, at username. Ang data na ito ay ipapadala sa Command-and-Control (C&C) server ng mga umaatake, na naka-hardcode sa malware.

Sa ikalawang yugto nito, patuloy na nangangalap ng impormasyon ang WARMCOOKIE, na nakatuon sa pagkuha ng mga detalye ng CPU, IP address ng biktima, at isang komprehensibong listahan ng naka-install na software, kabilang ang mga pangalan, bersyon, at petsa ng pag-install.

Ang WARMCOOKIE ay nagtataglay ng kakayahang magsagawa ng iba't ibang mga utos sa mga nahawaang system, tulad ng pagbabasa ng mga file, pagkuha ng mga screenshot at pag-download ng mga karagdagang file sa mga nakompromisong device. Ang pangunahing pag-andar nito ay nasa pag-download at pag-install ng karagdagang malware, sa gayo'y nagpapatuloy ng mga karagdagang impeksyon.

Bagama't ang mga backdoor sa teorya ay may potensyal na magpasok ng anumang uri ng malware sa mga system, kadalasang gumagana ang mga ito sa loob ng ilang partikular na limitasyon. Sa kaso ng WARMCOOKIE, maaari itong humantong sa pag-install ng mga trojan virus o katulad na nakakahamak na software, pagpapalawak ng saklaw ng impeksyon at pagpapakita ng mas malaking banta sa mga apektadong system.