Un malware Windows nemaivăzut până acum, numit ‘Warmcookie’, este distribuit printr-o campanie de pescuit prin oferte de muncă false pentru a sparge rețelele corporative.
Potrivit Elastic Security Labs, care a descoperit noua amenințare, Warmcookie este capabil de identificare extinsă a mașinii, capturare de ecran și implementarea de încărcături suplimentare.
Campania este în desfășurare în prezent, iar actorii de amenințare creează domenii noi săptămânal pentru a-și susține operațiunile malitioase, folosind infrastructură compromisă pentru a trimite e-mailuri de pescuit.
Campania de pescuit utilizează oferte false de muncă și recrutare trimise prin e-mailuri cu subiecte captivante. Acestea vizează persoanele cu atingeri de personalizare, folosindu-și numele și pe cele ale angajatorilor lor actuali.
E-mailurile conțin un link care pretinde că este pentru o platformă internă de recrutare unde descrierea postului poate fi vizualizată, dar redirecționează utilizatorul către pagini de aterizare care imită platforme legitime.
Pentru a adăuga legitimitate, acele pagini false îndeamnă victima să rezolve un CAPTCHA înainte de a descărca un fișier JavaScript puternic obfuscat numit similar cu ‘Update_23_04_2024_5689382’.
Când este executat, scriptul JS rulează un script PowerShell care folosește serviciul Background Intelligent Transfer Service (BITS) pentru a descărca fișierul DLL Warmcookie de pe un URL specificat și îl execută prin rundll32.exe.
Încărcătura Warmcookie este copiată în C:\ProgramData\RtlUpd\RtlUpd.dll, și la prima execuție, creează o sarcină programată numită ‘RtlUpd’ care rulează la fiecare 10 minute.
În faza finală de configurare, Warmcookie stabilește comunicarea cu serverul său de comandă și control (C2) și începe identificarea mașinii victimei.
Warmcookie este un malware backdoor cu diverse capacități proiectate pentru a se infiltra, persista și aduna informații din sistemele victimelor.
În prima etapă a operațiunilor sale, colectează informații cheie despre gazda infectată, inclusiv numărul serial al volumului, domeniul DNS, numele computerului și numele de utilizator, apoi criptează și trimite datele către C2 prin parametrul cookie HTTP.
Principalele capacități ale Warmcookie sunt:
Toate comenzile primite sunt procesate printr-o verificare a integrității folosind sume de control CRC32 pentru a se asigura că nu au fost modificate.
Analiștii Elastic comentează că, în ciuda faptului că Warmcookie este un nou backdoor cu mult spațiu pentru îmbunătățiri, este deja complet capabil să provoace daune semnificative țintelor sale, mai ales având în vedere capacitatea sa de a introduce încărcături suplimentare.
Leave a Reply