WARMCOOKIE Бекдор

Бекдорне шкідливе програмне забезпечення, таке як WARMCOOK, є загрозливим програмним забезпеченням, створеним для використання вразливостей комп’ютера, що дозволяє несанкціонований доступ і контроль. Ці програми спрямовані на створення прихованої точки входу, що дозволяє зловмисникам виконувати різноманітні шкідливі дії, включаючи встановлення додаткових шкідливих програм. Дійсно, основною метою WAMCOOKIE є сприяння подальшому зараженню шляхом завантаження та встановлення загроз наступного етапу зловмисного програмного забезпечення на скомпрометовані системи.

Цей варіант зловмисного програмного забезпечення, відомий як WARMCOOKIE, було ідентифіковано ще навесні 2024 року, і потенційно в обігу є ще більш ранні версії. Дослідники попереджають, що WARMCOOKIE активно поширюється через цільові спам-кампанії електронною поштою, де нічого не підозрюють користувачів обманом змушують відкрити шкідливі вкладення або натиснути шахрайські посилання.

Кіберзлочинці обманюють жертв за допомогою фішингових електронних листів

WARMCOOKIE розповсюджувався через цільові спам-кампанії, які використовували теми, пов’язані з роботою, щоб заманити одержувачів. Ці електронні листи видавали себе за законні фірми з працевлаштування, звертаючись до жертв їхніми справжніми іменами та надаючи деталі, як-от їхня поточна посада, щоб вони виглядали справжніми.

Одержувачів спонукали натиснути посилання в електронному листі, вважаючи, що це приведе їх до внутрішньої системи для перегляду пропозиції про роботу. Однак це посилання перенаправляло їх через низку скомпрометованих веб-сайтів, які часто розміщувалися на авторитетних доменах, що зрештою призвело до веб-сайту, пов’язаного з шахрайством.

На цільовій сторінці, яка, здавалося, була частиною процесу вербування, жертвам надавали персоналізовану інформацію для підвищення довіри. Їм було запропоновано завантажити документ із детальним описом пропозиції про роботу, перед тим як продовжити, потрібно пройти тест CAPTCHA.

Після завершення перевірки CAPTCHA жертви неусвідомлено завантажили обфускований файл JavaScript. Цей файл виконував сценарій PowerShell, призначений для зараження систем за допомогою Warmcookie, встановлення бекдор-доступу та ініціювання подальших шкідливих дій.

Бекдор WARMCOOKIE може наражати жертв на нові загрози зловмисного програмного забезпечення

WARMCOOKIE, незважаючи на його відносно обмежені можливості, відіграє вирішальну роль як бекдор зловмисного програмного забезпечення, надаючи початкову точку входу в цільові мережі. Як і багато інших бекдорів, WARMCOOKIE розроблено з функціями антианалізу, щоб уникнути виявлення, такими як механізми антиналагодження та здатність виявляти середовища ізольованого програмного середовища. Крім того, він забезпечує постійність, плануючи свій запуск кожні десять хвилин, що дозволяє йому зберігати контроль над скомпрометованою системою.

Після успішного проникнення WARMCOOKIE розпочинає свою діяльність у два етапи. Спочатку він збирає важливу інформацію із зараженої машини, включаючи серійний номер тому, домен DNS, назву пристрою та ім’я користувача. Потім ці дані передаються на сервер командування та управління (C&C) зловмисників, який жорстко закодовано в зловмисне програмне забезпечення.

На другому етапі WARMCOOKIE продовжує збирати інформацію, зосереджуючись на отриманні даних про процесор, IP-адресу жертви та вичерпний список встановленого програмного забезпечення, включаючи імена, версії та дати встановлення.

WARMCOOKIE має можливість виконувати різноманітні команди в заражених системах, наприклад читати файли, робити знімки екрана та завантажувати додаткові файли на скомпрометовані пристрої. Його основна функція полягає у завантаженні та встановленні додаткового зловмисного програмного забезпечення, що сприяє подальшому зараженню.

Хоча теоретично бекдори можуть запроваджувати в системи будь-який тип зловмисного програмного забезпечення, зазвичай вони діють із певними обмеженнями. У випадку WARMCOOKIE це може призвести до встановлення троянських вірусів або подібного шкідливого програмного забезпечення, розширюючи сферу зараження та створюючи більшу загрозу для уражених систем.