WARMCOOKIE Arka Kapı
WARMCOOK gibi bir arka kapı kötü amaçlı yazılımı, bilgisayardaki güvenlik açıklarından yararlanarak yetkisiz erişime ve kontrole izin vermek için oluşturulmuş tehdit edici bir yazılımdır. Bu programlar, saldırganların ek kötü amaçlı yazılım yükleme de dahil olmak üzere çeşitli zararlı faaliyetler gerçekleştirmesine olanak tanıyan gizli bir giriş noktası oluşturmayı amaçlamaktadır. Aslında WAMCOOKIE'nin temel amacı, sonraki aşama kötü amaçlı yazılım tehditlerini ele geçirilen sistemlere indirip yükleyerek daha fazla bulaşmayı kolaylaştırmaktır.
WARMCOOKIE olarak bilinen bu kötü amaçlı yazılım çeşidi, 2024 baharı gibi erken bir tarihte tespit edildi ve muhtemelen daha da eski versiyonları dolaşımdaydı. Araştırmacılar, WARMCOOKIE'nin, şüphelenmeyen kullanıcıların kötü amaçlı ekleri açmaları veya sahte bağlantılara tıklamaları için kandırıldığı, hedefli e-posta spam kampanyaları yoluyla aktif olarak dağıtıldığı konusunda uyarıyor.
Siber Suçlular Kurbanlarını Kimlik Avı E-postalarıyla Kandırıyor
WARMCOOKIE, alıcıları cezbetmek için işle ilgili temaları kullanan hedefli spam e-posta kampanyaları aracılığıyla dağıtıldı. Bu e-postalar, meşru işe alım firmalarının kimliğine bürünerek mağdurlara gerçek adlarıyla hitap ediyor ve mevcut istihdam pozisyonları gibi ayrıntılar sağlayarak onların gerçek görünmesini sağlıyordu.
Alıcılar, bir iş teklifini incelemek üzere dahili bir sisteme yönlendirileceklerine inanılarak e-postadaki bir bağlantıya tıklamaya ikna edildi. Ancak bu bağlantı, onları genellikle saygın alanlarda barındırılan, güvenliği ihlal edilmiş bir dizi web sitesi aracılığıyla yönlendirdi ve sonuçta dolandırıcılıkla ilgili bir web sitesine yol açtı.
İşe alım sürecinin bir parçası gibi görünen açılış sayfasında, güvenilirliği artırmak için mağdurlara kişiselleştirilmiş bilgiler sunuldu. Devam etmeden önce bir CAPTCHA testinin gerekli olduğu, iş teklifinin ayrıntılarını içeren bir belge indirmeleri istendi.
CAPTCHA tamamlandıktan sonra kurbanlar bilmeden gizlenmiş bir JavaScript dosyası indirdiler. Bu dosya, sistemlere Warmcookie bulaştırmak, arka kapı erişimi sağlamak ve daha fazla kötü amaçlı etkinlik başlatmak için tasarlanmış bir PowerShell betiğini çalıştırdı.
WARMCOOKIE Arka Kapısı Kurbanları Daha Fazla Kötü Amaçlı Yazılım Tehdidine Maruz Bırakabilir
WARMCOOKIE, nispeten sınırlı yeteneklerine rağmen, hedeflenen ağlara ilk giriş noktası sağlayarak arka kapı kötü amaçlı yazılımı olarak çok önemli bir rol oynuyor. Birçok arka kapı gibi WARMCOOKIE de hata ayıklama önleme mekanizmaları ve korumalı alan ortamlarını algılama yeteneği gibi algılamayı atlatmak için anti-analiz özellikleriyle tasarlanmıştır. Dahası, kendisini her on dakikada bir çalışacak şekilde programlayarak kalıcılığı sağlar ve tehlikeye atılan sistem üzerinde kontrolü sürdürmesine olanak tanır.
WARMCOOKIE başarılı bir şekilde sızdıktan sonra operasyonlarını iki aşamada başlatır. Başlangıçta, virüs bulaşmış makineden toplu seri numarası, DNS alanı, cihaz adı ve kullanıcı adı gibi temel bilgileri toplar. Bu veriler daha sonra saldırganların kötü amaçlı yazılıma sabit kodlanmış Komuta ve Kontrol (C&C) sunucusuna iletilir.
İkinci aşamada WARMCOOKIE, CPU ayrıntılarını, kurbanın IP adresini ve adlar, sürümler ve kurulum tarihleri de dahil olmak üzere yüklü yazılımların kapsamlı bir listesini çıkarmaya odaklanarak bilgi toplamaya devam ediyor.
WARMCOOKIE, virüslü sistemlerde dosyaları okuma, ekran görüntüleri yakalama ve güvenliği ihlal edilmiş cihazlara ek dosyalar indirme gibi çeşitli komutları yürütme yeteneğine sahiptir. Birincil işlevi, ek kötü amaçlı yazılım indirip yüklemek ve böylece daha fazla bulaşmayı sürdürmektir.
Arka kapılar teorik olarak sistemlere her türlü kötü amaçlı yazılımı sokma potansiyeline sahip olsa da, genellikle belirli kısıtlamalar dahilinde çalışırlar. WARMCOOKIE durumunda bu, truva atı virüslerinin veya benzeri kötü amaçlı yazılımların yüklenmesine yol açarak enfeksiyonun kapsamını genişletebilir ve etkilenen sistemler için daha büyük tehditler oluşturabilir.
