WARMCOOKIE後門

後門惡意軟體（例如 WARMCOOK）是一種威脅軟體，旨在利用電腦漏洞，允許未經授權的存取和控制。這些程式旨在建立一個隱藏的入口點，使攻擊者能夠執行各種有害活動，包括安裝其他惡意軟體。事實上，WAMCOOKIE 的主要目的是透過將下一階段的惡意軟體威脅下載並安裝到受感染的系統上來促進進一步的感染。

這種惡意軟體變體被稱為 WARMCOOKIE，早在 2024 年春季就已被發現，可能還有更早的版本在流通。研究人員警告說，WARMCOOKIE 透過有針對性的垃圾郵件活動積極傳播，毫無戒心的用戶會被誘騙開啟惡意附件或點擊詐欺連結。

網路犯罪分子透過網路釣魚電子郵件欺騙受害者

WARMCOOKIE 透過有針對性的垃圾郵件活動進行分發，這些活動使用與工作相關的主題來引誘收件人。這些電子郵件冒充合法的招聘公司，以受害者的真實姓名稱呼受害者，並提供他們目前的就業職位等詳細信息，使他們看起來很真實。

收件人被誘惑點擊電子郵件中的鏈接，相信這會引導他們進入內部系統來審查工作機會。然而，此連結將他們重定向到一系列受感染的網站，這些網站通常託管在信譽良好的網域上，最終導致與詐騙相關的網站。

在似乎是招募過程一部分的登陸頁面上，向受害者提供了個人化訊息以提高可信度。他們被提示下載一份詳細說明工作機會的文件，並在繼續之前需要進行驗證碼測試。

一旦驗證碼完成，受害者就會在不知不覺中下載一個混淆的 JavaScript 檔案。該檔案執行了一個 PowerShell 腳本，旨在使用 Warmcookie 感染系統，建立後門存取並啟動進一步的惡意活動。

WARMCOOKIE 後門可能會讓受害者面臨更多惡意軟體威脅

WARMCOOKIE 儘管其功能相對有限，但透過提供目標網路的初始入口點，作為後門惡意軟體發揮著至關重要的作用。與許多後門一樣，WARMCOOKIE 設計有反分析功能來逃避檢測，例如反調試機制和檢測沙箱環境的能力。此外，它透過安排自己每十分鐘運行一次來確保持久性，從而使其能夠保持對受感染系統的控制。

一旦成功滲透，WARMCOOKIE 就會分兩個階段啟動其操作。最初，它從受感染的計算機收集基本信息，包括卷序號、DNS 域、設備名稱和使用者名稱。然後，該資料被傳輸到攻擊者的命令與控制 (C&C) 伺服器，該伺服器被硬編碼到惡意軟體中。

在第二階段，WARMCOOKIE 繼續收集信息，重點是提取 CPU 詳細資訊、受害者的 IP 位址以及已安裝軟體的完整列表，包括名稱、版本和安裝日期。

WARMCOOKIE 能夠在受感染的系統上執行各種命令，例如讀取檔案、擷取螢幕截圖以及將其他檔案下載到受感染的裝置上。其主要功能在於下載和安裝額外的惡意軟體，從而使進一步的感染永久化。

雖然後門理論上有可能將任何類型的惡意軟體引入系統，但它們通常在某些限制下運行。就 WARMCOOKIE 而言，這可能會導致木馬病毒或類似惡意軟體的安裝，從而擴大感染範圍並對受影響的系統構成更大的威脅。