Cửa sau WARMCOOKIE

Phần mềm độc hại cửa sau, chẳng hạn như WARMCOOK, là một phần mềm đe dọa được tạo ra để khai thác lỗ hổng máy tính, cho phép truy cập và kiểm soát trái phép. Các chương trình này nhằm mục đích thiết lập một điểm xâm nhập ẩn, cho phép kẻ tấn công thực hiện nhiều hoạt động có hại khác nhau, bao gồm cả việc cài đặt thêm phần mềm độc hại. Thật vậy, mục đích chính của WAMCOOKIE là tạo điều kiện thuận lợi cho việc lây nhiễm thêm bằng cách tải xuống và cài đặt các mối đe dọa phần mềm độc hại giai đoạn tiếp theo vào các hệ thống bị xâm nhập.

Biến thể phần mềm độc hại này, được gọi là WARMCOOKIE, đã được xác định ngay từ mùa xuân năm 2024, với các phiên bản thậm chí có thể còn sớm hơn đang được lưu hành. Các nhà nghiên cứu cảnh báo rằng WARMCOOKIE được phân phối tích cực thông qua các chiến dịch spam email có mục tiêu, trong đó những người dùng không nghi ngờ sẽ bị lừa mở các tệp đính kèm độc hại hoặc nhấp vào các liên kết lừa đảo.

Tội phạm mạng lừa nạn nhân bằng email lừa đảo

WARMCOOKIE được phát tán thông qua các chiến dịch email spam có mục tiêu sử dụng các chủ đề liên quan đến công việc để thu hút người nhận. Những email này mạo danh các công ty tuyển dụng hợp pháp, gọi nạn nhân bằng tên thật và cung cấp thông tin chi tiết như vị trí việc làm hiện tại của họ, khiến chúng có vẻ xác thực.

Người nhận bị dụ dỗ nhấp vào liên kết trong email vì tin rằng nó sẽ dẫn họ đến hệ thống nội bộ để xem xét lời mời làm việc. Tuy nhiên, liên kết này đã chuyển hướng họ qua một loạt trang web bị xâm nhập, thường được lưu trữ trên các tên miền uy tín, cuối cùng dẫn đến một trang web liên quan đến lừa đảo.

Trên trang đích, dường như là một phần của quá trình tuyển dụng, nạn nhân được cung cấp thông tin được cá nhân hóa để nâng cao độ tin cậy. Họ được nhắc tải xuống tài liệu nêu chi tiết về lời mời làm việc, kèm theo yêu cầu kiểm tra CAPTCHA trước khi tiếp tục.

Sau khi CAPTCHA hoàn tất, nạn nhân đã vô tình tải xuống một tệp JavaScript bị xáo trộn. Tệp này thực thi tập lệnh PowerShell được thiết kế để lây nhiễm Warmcookie vào hệ thống, thiết lập quyền truy cập cửa sau và bắt đầu các hoạt động độc hại khác.

Cửa sau WARMCOOKIE có thể khiến nạn nhân gặp nhiều mối đe dọa phần mềm độc hại hơn

WARMCOOKIE, mặc dù có khả năng tương đối hạn chế, vẫn đóng vai trò quan trọng như một phần mềm độc hại cửa sau bằng cách cung cấp điểm truy cập ban đầu vào các mạng được nhắm mục tiêu. Giống như nhiều backdoor, WARMCOOKIE được thiết kế với các tính năng chống phân tích để tránh bị phát hiện, chẳng hạn như cơ chế chống gỡ lỗi và khả năng phát hiện môi trường sandbox. Hơn nữa, nó đảm bảo tính bền bỉ bằng cách tự lên lịch chạy cứ sau 10 phút, cho phép nó duy trì quyền kiểm soát đối với hệ thống bị xâm nhập.

Sau khi xâm nhập thành công, WARMCOOKIE bắt đầu hoạt động theo hai giai đoạn. Ban đầu, nó thu thập thông tin cần thiết từ máy bị nhiễm, bao gồm số sê-ri ổ đĩa, miền DNS, tên thiết bị và tên người dùng. Dữ liệu này sau đó được truyền đến máy chủ Chỉ huy và Kiểm soát (C&C) của kẻ tấn công, máy chủ này được mã hóa cứng vào phần mềm độc hại.

Trong giai đoạn thứ hai, WARMCOOKIE tiếp tục thu thập thông tin, tập trung vào việc trích xuất thông tin chi tiết về CPU, địa chỉ IP của nạn nhân và danh sách đầy đủ các phần mềm đã cài đặt, bao gồm tên, phiên bản và ngày cài đặt.

WARMCOOKIE sở hữu khả năng thực thi nhiều lệnh khác nhau trên hệ thống bị nhiễm, chẳng hạn như đọc tệp, chụp ảnh màn hình và tải các tệp bổ sung xuống thiết bị bị xâm nhập. Chức năng chính của nó nằm ở việc tải xuống và cài đặt phần mềm độc hại bổ sung, do đó làm kéo dài thêm tình trạng lây nhiễm.

Mặc dù về mặt lý thuyết, các cửa hậu có khả năng đưa bất kỳ loại phần mềm độc hại nào vào hệ thống nhưng chúng thường hoạt động trong một số hạn chế nhất định. Trong trường hợp WARMCOOKIE, điều này có thể dẫn đến việc cài đặt vi-rút trojan hoặc phần mềm độc hại tương tự, mở rộng phạm vi lây nhiễm và gây ra mối đe dọa lớn hơn cho các hệ thống bị ảnh hưởng.