Ένα μέχρι τώρα άγνωστο Windows malware με το όνομα «Warmcookie», διανέμεται μέσω καμπάνιας phishing με ψεύτικες προσφορές εργασίας, για την παραβίαση εταιρικών δικτύων.
Δείτε επίσης: Το ValleyRAT malware επανεμφανίζεται με νέες τακτικές για κλοπή δεδομένων
Σύμφωνα με τα Elastic Security Labs, τα οποία ανακάλυψαν τη νέα απειλή, το Warmcookie είναι ικανό για εκτεταμένη λήψη δακτυλικών αποτυπωμάτων, λήψη στιγμιότυπων οθόνης και ανάπτυξη πρόσθετων ωφέλιμων φορτίων.
Η καμπάνια του malware Warmcookie βρίσκεται σε εξέλιξη και οι κακόβουλοι παράγοντες δημιουργούν νέους τομείς εβδομαδιαίως για να υποστηρίξουν τις κακόβουλες λειτουργίες τους, χρησιμοποιώντας παραβιασμένη υποδομή για την αποστολή μηνυμάτων phishing.
Ψεύτικες προσφορές εργασίας προωθούν malware
Η εκστρατεία phishing χρησιμοποιεί ψεύτικες προσφορές εργασίας και προσλήψεων που αποστέλλονται μέσω email με θέματα που τραβούν την προσοχή. Στοχεύουν άτομα, χρησιμοποιώντας τα ονόματά τους και τα ονόματα των εργοδοτών τους.
Τα emails περιέχουν έναν σύνδεσμο με το malware Warmcookie, που ισχυρίζεται ότι προορίζεται για μια εσωτερική πλατφόρμα προσλήψεων όπου μπορεί να προβληθεί η περιγραφή της θέσης εργασίας, αλλά ανακατευθύνει τον χρήστη σε σελίδες προορισμού που μιμούνται νόμιμες πλατφόρμες.
Δείτε ακόμα: Το Sticky Werewolf Malware στοχεύει Ρωσία και Λευκορωσία
Για να προστεθεί νομιμότητα, αυτές οι ψεύτικες σελίδες προτρέπουν το θύμα να λύσει ένα CAPTCHA προτού πραγματοποιήσει λήψη ενός αρχείου JavaScript με το όνομα “Update_23_04_2024_5689382“.
Όταν εκτελείται, η δέσμη ενεργειών JS εκτελεί μια δέσμη ενεργειών PowerShell που χρησιμοποιεί την υπηρεσία Background Intelligent Transfer Service (BITS) για τη λήψη του αρχείου Warmcookie DLL από μια καθορισμένη διεύθυνση URL και την εκτέλεσή του μέσω του rundll32.exe.
Το ωφέλιμο φορτίο του malware Warmcookie αντιγράφεται στο C:\ProgramData\RtlUpd\RtlUpd.dll και κατά την πρώτη εκτέλεση δημιουργεί μια προγραμματισμένη εργασία με το όνομα ‘RtlUpd‘ που εκτελείται κάθε 10 λεπτά.
Στην τελική φάση εγκατάστασης, το malware Warmcookie δημιουργεί επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2) και ξεκινά τη λήψη δακτυλικών αποτυπωμάτων στο μηχάνημα του θύματος.
Δείτε επίσης: Malware μπορεί να κλέψει δεδομένα που συλλέγονται από το Windows Recall
Το malware, όπως το Warmcookie, αντιπροσωπεύει μια σημαντική απειλή στον ψηφιακό κόσμο. Περιλαμβάνει ένα ευρύ φάσμα επιβλαβών τύπων λογισμικού που έχουν σχεδιαστεί για να βλάπτουν, να διακόπτουν ή να αποκτούν μη εξουσιοδοτημένη πρόσβαση σε συστήματα υπολογιστών. Οι μορφές κακόβουλου λογισμικού περιλαμβάνουν ιούς, worm, trojans, ransomware και spyware, καθένα με ξεχωριστές μεθόδους μόλυνσης και επιπτώσεις. Οι ιοί συνδέονται με νόμιμα προγράμματα, αναπαράγονται και εξαπλώνονται σε άλλα συστήματα, ενώ τα worms εκμεταλλεύονται τα τρωτά σημεία στα δίκτυα. Τα Trojans μεταμφιέζονται σε καλοήθη λογισμικό για να εξαπατήσουν τους χρήστες να το εγκαταστήσουν. Το Ransomware κρυπτογραφεί αρχεία, απαιτεί πληρωμή για αποκρυπτογράφηση και το spyware παρακολουθεί κρυφά τις δραστηριότητες των χρηστών. Η εξέλιξη του κακόβουλου λογισμικού απαιτεί ισχυρά μέτρα κυβερνοασφάλειας για την προστασία των δεδομένων και τη διατήρηση της ακεραιότητας του συστήματος.
Πηγή: bleepingcomputer
