Търсене
Close this search box.

Невиждан досега зловреден софтуер за Windows, наречен „Warmcookie“, се разпространява чрез фишинг кампании с фалшиви предложения за работа с цел пробив на корпоративни мрежи.

Според Elastic Security Labs, които са открили новата заплаха, Warmcookie е способен на широкообхватно снемане на машинни отпечатъци, заснемане на екранни снимки и разполагане на допълнителни полезни товари.

Кампанията в момента е в ход, а хакерите създават ежеседмично нови домейни, за да поддържат злонамерените си операции, като използват компрометирана инфраструктура за изпращане на фишинг имейли.

Фалшиви предложения за работа прокарват зловреден софтуер

Фишинг кампанията използва фалшиви предложения за работа и набиране на персонал, изпращани чрез имейли с привличащи вниманието теми. Те се насочват към физически лица с примеси на персонализация, като използват техните имена и имената на настоящите им работодатели.

Phishing email - Subject: “We’re Interested”

Имейлите съдържат връзка, която твърди, че е за вътрешна платформа за набиране на персонал, където може да се види описанието на длъжността, но пренасочва потребителя към целеви страници, имитиращи легитимни платформи.

За да добавят легитимност, тези фалшиви страници подканват жертвата да реши CAPTCHA, преди да изтегли силно замаскиран JavaScript файл с име, подобно на „Update_23_04_2024_5689382“.

Когато бъде изпълнен, JS скриптът изпълнява PowerShell скрипт, който използва Background Intelligent Transfer Service (BITS), за да изтегли Warmcookie DLL файла от посочен URL адрес и да го изпълни чрез rundll32.exe.

Landing page

Полезният товар на Warmcookie се копира в C:\ProgramData\RtlUpd\RtlUpd.dll и при първото изпълнение създава планирана задача с име „RtlUpd“, която се изпълнява на всеки 10 минути.

В последната фаза на настройка Warmcookie установява връзка със своя сървър за управление и контрол (C2) и започва да снема отпечатъци от машината на жертвата.

WARMCOOKIE execution flow

Възможности на Warmcookie

Warmcookie е злонамерен софтуер със задна врата с различни възможности, предназначен да проникне, да се запази и да събира информация от системите на жертвите.

На първия етап от работата си той събира ключова информация за заразения хост, включително сериен номер на тома, DNS домейн, име на компютъра и потребителско име, след което криптира и изпраща данните до C2 чрез параметъра HTTP cookie.

Основните възможности на Warmcookie са:

  1. Извличане на информация за жертвата, като например IP адрес и данни за процесора
  2. Заснемане на екранни снимки с помощта на собствени инструменти на Windows
  3. Изброяване на инсталираните програми чрез ключа на регистъра
  4. Изпълнява произволни команди с помощта на „cmd.exe“ и изпраща изхода към C2
    пускане на файлове в определени директории/пътища
  5. Четене на съдържанието на определени файлове и изпращане на съдържанието към C2

 

Всички получени команди се обработват чрез проверка на целостта, като се използват контролни суми CRC32, за да се гарантира, че не са били подправени.

Освен това зловредният софтуер няма да се стартира, ако броят на процесорите и стойностите на физическата/виртуалната памет са под определени прагове, за да се избегнат средите за анализ.

Анализаторите на Elastic коментират, че въпреки че Warmcookie е нова задна врата с много възможности за усъвършенстване, тя вече е напълно способна да нанесе значителни щети на своите цели, особено като се има предвид възможността за въвеждане на допълнителни полезни товари.

Източник на информация и инфографики: Elastic Security Labs

Пълният анализ на заплахата можете да видите тук.

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
Бъдете социални
Още по темата
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!