aldebaran33 Dipping into Danger The WARMCOOKIE backdoor in the c5b46225 8092 4f7f 945f c5ad33d0a9f8
Sicurezza Informatica Malware Phishing / / Di

WARMCOOKIE: pericolosa Backdoor multipiattaforma

Elastic Security Labs ha osservato una nuova ondata di campagne email a fine aprile, mirate a distribuire un nuovo backdoor chiamato WARMCOOKIE, identificato tramite i dati inviati attraverso il parametro HTTP cookie. Durante l’analisi iniziale, il team ha identificato somiglianze con un campione precedentemente riportato da eSentire, noto come resident2.exe. Tuttavia, WARMCOOKIE presenta funzionalità diverse e viene utilizzato quotidianamente in campagne di phishing a tema lavorativo.

Annuncio

Caratteristiche principali di WARMCOOKIE

  • Phishing a Tema Lavorativo: Campagne di phishing che utilizzano esche legate al reclutamento per distribuire il backdoor WARMCOOKIE.
  • Funzionalità di Base: Strumento iniziale utilizzato per ricognizioni, cattura di schermate e distribuzione di payload aggiuntivi.
  • Infrastruttura Dinamica: Creazione di nuovi domini e infrastrutture settimanali per supportare queste campagne.

Panoramica della Campagna REF6127

image 105
WARMCOOKIE: pericolosa Backdoor multipiattaforma 5

Dal fine aprile 2024, il team di Elastic Security Labs ha osservato nuove campagne di phishing che utilizzano esche legate al reclutamento. Gli email mirano specificamente agli individui per far loro cliccare su un link che porta a una pagina di destinazione che sembra legittima. Qui, agli utenti viene chiesto di scaricare un documento dopo aver risolto un CAPTCHA, che avvia l’esecuzione di WARMCOOKIE tramite uno script PowerShell.

Analisi del malware WARMCOOKIE

Persistenza e esecuzione

WARMCOOKIE utilizza un DLL di Windows in due fasi principali. La prima fase coinvolge il download e l’esecuzione del DLL tramite PowerShell, con configurazione della persistenza utilizzando il Task Scheduler di Windows. La seconda fase include funzionalità principali come fingerprinting della macchina vittima e cattura di schermate.

Comunicazione e integrità

Il malware comunica tramite HTTP con un indirizzo IP hardcoded e protegge il traffico di rete usando una combinazione di RC4 e Base64. Viene utilizzato un checksum CRC32 per verificare l’integrità dei dati inviati e ricevuti.

🔴 OSSERVATORIO INTELLIGENCE: LIVE

Annuncio

Atlante Cyber

Funzionalità del Bot

WARMCOOKIE offre sette comandi principali per gli attori delle minacce, tra cui:

  1. Recupero dei dettagli della vittima.
  2. Cattura di schermate.
  3. Recupero dei programmi installati.
  4. Esecuzione di comandi della linea di comando.
  5. Scrittura di file sulla macchina vittima.
  6. Lettura di file dalla macchina vittima.
  7. Rimozione della persistenza configurata.

Prevenzione e rilevamento

Elastic Security Labs ha creato regole YARA per identificare l’attività di WARMCOOKIE, disponibili su GitHub. La prevenzione e il rilevamento tempestivi di questo malware sono cruciali per mitigare il rischio di ulteriori payload dannosi come ransomware.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Leggi anche

Torna in alto