Невиждан досега зловреден софтуер за Windows, наречен „Warmcookie“, се разпространява чрез фишинг кампании с фалшиви предложения за работа с цел пробив на корпоративни мрежи.
Според Elastic Security Labs, които са открили новата заплаха, Warmcookie е способен на широкообхватно снемане на машинни отпечатъци, заснемане на екранни снимки и разполагане на допълнителни полезни товари.
Кампанията в момента е в ход, а хакерите създават ежеседмично нови домейни, за да поддържат злонамерените си операции, като използват компрометирана инфраструктура за изпращане на фишинг имейли.
Фишинг кампанията използва фалшиви предложения за работа и набиране на персонал, изпращани чрез имейли с привличащи вниманието теми. Те се насочват към физически лица с примеси на персонализация, като използват техните имена и имената на настоящите им работодатели.
Имейлите съдържат връзка, която твърди, че е за вътрешна платформа за набиране на персонал, където може да се види описанието на длъжността, но пренасочва потребителя към целеви страници, имитиращи легитимни платформи.
За да добавят легитимност, тези фалшиви страници подканват жертвата да реши CAPTCHA, преди да изтегли силно замаскиран JavaScript файл с име, подобно на „Update_23_04_2024_5689382“.
Когато бъде изпълнен, JS скриптът изпълнява PowerShell скрипт, който използва Background Intelligent Transfer Service (BITS), за да изтегли Warmcookie DLL файла от посочен URL адрес и да го изпълни чрез rundll32.exe.
Полезният товар на Warmcookie се копира в C:\ProgramData\RtlUpd\RtlUpd.dll и при първото изпълнение създава планирана задача с име „RtlUpd“, която се изпълнява на всеки 10 минути.
В последната фаза на настройка Warmcookie установява връзка със своя сървър за управление и контрол (C2) и започва да снема отпечатъци от машината на жертвата.
Warmcookie е злонамерен софтуер със задна врата с различни възможности, предназначен да проникне, да се запази и да събира информация от системите на жертвите.
На първия етап от работата си той събира ключова информация за заразения хост, включително сериен номер на тома, DNS домейн, име на компютъра и потребителско име, след което криптира и изпраща данните до C2 чрез параметъра HTTP cookie.
Основните възможности на Warmcookie са:
Всички получени команди се обработват чрез проверка на целостта, като се използват контролни суми CRC32, за да се гарантира, че не са били подправени.
Освен това зловредният софтуер няма да се стартира, ако броят на процесорите и стойностите на физическата/виртуалната памет са под определени прагове, за да се избегнат средите за анализ.
Анализаторите на Elastic коментират, че въпреки че Warmcookie е нова задна врата с много възможности за усъвършенстване, тя вече е напълно способна да нанесе значителни щети на своите цели, особено като се има предвид възможността за въвеждане на допълнителни полезни товари.
Източник на информация и инфографики: Elastic Security Labs
Пълният анализ на заплахата можете да видите тук.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.