Εικόνα: Midjourney
Ένα κακόβουλο λογισμικό
Windows
με το όνομα «Warmcookie» που δεν είχε ξαναδεί ποτέ, διανέμεται μέσω καμπανιών ψαρέματος με ψεύτικες
προσφορές
εργασίας για την παραβίαση εταιρικών δικτύων.
Σύμφωνα με
Εργαστήρια Elastic Security
που ανακάλυψε τη νέα απειλή, το Warmcookie έχει τη δυνατότητα εκτεταμένης λήψης δακτυλικών αποτυπωμάτων από μηχανή, λήψης στιγμιότυπων οθόνης και
ανάπτυξη
ς πρόσθετων ωφέλιμων φορτίων.
Η εκστρατεία βρίσκεται σε εξέλιξη και οι φορείς απειλών δημιουργούν νέους τομείς εβδομαδιαίως για να υποστηρίξουν τις κακόβουλες λειτουργίες τους, χρησιμοποιώντας παραβιασμένη υποδομή για την αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος.
Ψεύτικες προσφορές εργασίας push malware
Η εκστρατεία ηλεκτρονικού ψαρέματος χρησιμοποιεί ψεύτικες προσφορές εργασίας και προσλήψεων που αποστέλλονται μέσω email με θέματα που τραβούν την προσοχή. Στοχεύουν άτομα με πινελιές εξατομίκευσης, χρησιμοποιώντας τα ονόματά τους και τα ονόματα των σημερινών εργοδοτών τους.
Το email
phishing
Πηγή: Elastic
Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν έναν σύνδεσμο που ισχυρίζεται ότι προορίζεται για μια εσωτερική πλατφόρμα προσλήψεων όπου μπορεί να προβληθεί η περιγραφή της θέσης εργασίας, αλλά ανακατευθύνει τον χρήστη σε σελίδες προορισμού που μιμούνται νόμιμες πλατφόρμες.
Παραπλανητική σελίδα προορισμού
Πηγή: Elastic
Για να προστεθεί νομιμότητα, αυτές οι ψεύτικες σελίδες προτρέπουν το θύμα να λύσει ένα CAPTCHA προτού πραγματοποιήσει λήψη ενός αρχείου
JavaScript
με μεγάλη σύγχυση με το όνομα “Update_23_04_2024_5689382”.
Όταν εκτελείται, η δέσμη ενεργειών JS εκτελεί μια δέσμη ενεργειών PowerShell που χρησιμοποιεί την υπηρεσία Background Intelligent Transfer Service (BITS) για τη λήψη του αρχείου Warmcookie DLL από μια καθορισμένη διεύθυνση URL και την εκτέλεση του μέσω του rundll32.exe.
Το ωφέλιμο φορτίο Warmcookie αντιγράφεται στο C:ProgramDataRtlUpdRtlUpd.dll και κατά την πρώτη εκτέλεση δημιουργεί μια προγραμματισμένη εργασία με το όνομα ‘RtlUpd’ που εκτελείται κάθε 10 λεπτά.
Η προγραμματισμένη εργασία του Warmcookie
Πηγή: Elastic
Στην τελική φάση εγκατάστασης, το Warmcookie δημιουργεί επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2) του και ξεκινά τη λήψη δακτυλικών αποτυπωμάτων στο μηχάνημα του θύματος.
Επισκόπηση αλυσίδας επίθεσης
Πηγή: Elastic
Δυνατότητες Warmcookie
Το Warmcookie είναι ένα κακόβουλο λογισμικό backdoor με διάφορες δυνατότητες που έχουν σχεδιαστεί για να διεισδύουν, να επιμένουν και να συλλέγουν πληροφορίες από συστήματα θυμάτων.
Στο πρώτο στάδιο της λειτουργίας του, συλλέγει βασικές πληροφορίες σχετικά με τον μολυσμένο κεντρικό υπολογιστή, συμπεριλαμβανομένου του σειριακού αριθμού τόμου, του τομέα DNS, του ονόματος υπολογιστή και του ονόματος χρήστη, και στη συνέχεια κρυπτογραφεί και στέλνει τα δεδομένα στο C2 μέσω της παραμέτρου cookie HTTP.
Οι κύριες δυνατότητες του Warmcookie είναι:
- Ανάκτηση πληροφοριών του θύματος, όπως διεύθυνση IP και λεπτομέρειες CPU
- Καταγράψτε στιγμιότυπα οθόνης χρησιμοποιώντας εγγενή εργαλεία των Windows
- Απαριθμήστε τα εγκατεστημένα προγράμματα μέσω του κλειδιού μητρώου
- Εκτελέστε αυθαίρετες εντολές χρησιμοποιώντας το ‘cmd.exe’ και στείλτε την έξοδο στο C2
- Απόθεση αρχείων σε καθορισμένους καταλόγους/διαδρομές
- Διαβάστε τα περιεχόμενα των καθορισμένων αρχείων και στείλτε περιεχόμενο στο C2
Στιγμιότυπο οθόνης από Warmcookie
Πηγή: Elastic
Όλες οι λαμβανόμενες εντολές υποβάλλονται σε επεξεργασία μέσω ελέγχου ακεραιότητας χρησιμοποιώντας αθροίσματα ελέγχου CRC32 για να διασφαλιστεί ότι δεν έχουν παραβιαστεί.
Επίσης, το κακόβουλο λογισμικό δεν θα εκτελεστεί εάν ο αριθμός των επεξεργαστών CPU και οι τιμές φυσικής/εικονικής μνήμης είναι κάτω από ορισμένα όρια για την αποφυγή περιβαλλόντων ανάλυσης.
Οι αναλυτές της Elastic σχολιάζουν ότι παρά το γεγονός ότι το Warmcookie είναι μια νέα κερκόπορτα με πολλά περιθώρια βελτίωσης, είναι ήδη πλήρως ικανό να προκαλέσει σημαντική ζημιά στους στόχους του, ειδικά δεδομένης της ικανότητάς του να εισάγει πρόσθετα ωφέλιμα φορτία.
VIA:
bleepingcomputer.com
0