WARMCOOKIE 后门

后门恶意软件（例如 WARMCOOK）是一种威胁性软件，旨在利用计算机漏洞，允许未经授权的访问和控制。这些程序旨在建立一个隐藏的入口点，使攻击者能够进行各种有害活动，包括安装其他恶意软件。事实上，WAMCOOKIE 的主要目的是通过下载和安装下一阶段的恶意软件威胁到受感染的系统来促进进一步感染。

这种名为 WARMCOOKIE 的恶意软件变体早在 2024 年春季就被发现，甚至可能还有更早的版本在流传。研究人员警告称，WARMCOOKIE 通过有针对性的电子邮件垃圾邮件活动积极传播，毫无戒心的用户被诱骗打开恶意附件或点击欺诈链接。

网络犯罪分子利用钓鱼电子邮件欺骗受害者

WARMCOOKIE 是通过有针对性的垃圾邮件活动传播的，这些垃圾邮件活动使用与工作相关的主题来引诱收件人。这些电子邮件冒充合法的招聘公司，使用真实姓名称呼受害者，并提供他们目前的工作职位等详细信息，使他们看起来真实可信。

收件人被诱导点击电子邮件中的链接，以为这会将他们引导至内部系统以查看工作机会。然而，此链接会将他们重定向到一系列受感染的网站（通常托管在信誉良好的域名上），最终将他们引导至与欺诈相关的网站。

在看似招聘流程的登录页面上，受害者会看到个性化信息以提高可信度。他们被提示下载一份详细介绍工作机会的文档，并需要通过 CAPTCHA 测试才能继续。

完成 CAPTCHA 验证后，受害者会在不知情的情况下下载一个经过混淆的 JavaScript 文件。该文件执行了旨在利用 Warmcookie 感染系统的 PowerShell 脚本，从而建立后门访问权限并启动进一步的恶意活动。

WARMCOOKIE 后门可能使受害者面临更多恶意软件威胁

尽管 WARMCOOKIE 的功能相对有限，但它作为后门恶意软件发挥着至关重要的作用，因为它提供了进入目标网络的初始入口点。与许多后门一样，WARMCOOKIE 具有反分析功能，可以逃避检测，例如反调试机制和检测沙盒环境的能力。此外，它通过安排自己每十分钟运行一次来确保持久性，从而能够保持对受感染系统的控制。

一旦成功入侵，WARMCOOKIE 就会分两个阶段启动其操作。首先，它会从受感染的机器收集基本信息，包括卷序列号、DNS 域、设备名称和用户名。然后，这些数据会被传输到攻击者的命令和控制 (C&C) 服务器，该服务器被硬编码到恶意软件中。

在第二阶段，WARMCOOKIE 继续收集信息，重点提取 CPU 详细信息、受害者的 IP 地址以及已安装软件的完整列表，包括名称、版本和安装日期。

WARMCOOKIE 能够在受感染的系统上执行各种命令，例如读取文件、截取屏幕截图以及将其他文件下载到受感染的设备上。其主要功能是下载和安装其他恶意软件，从而进一步感染。

虽然后门在理论上有可能将任何类型的恶意软件引入系统，但它们通常在某些限制内运行。就 WARMCOOKIE 而言，这可能导致安装木马病毒或类似的恶意软件，扩大感染范围并对受影响的系统构成更大威胁。