Nuevo backdoor Warmcookie impulsado a través de ofertas de trabajo falsas

Iniciado por AXCESS, Junio 11, 2024, 10:41:13 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 11, 2024, 10:41:13 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un malware de Windows nunca antes visto llamado 'Warmcookie' se distribuye a través de campañas de phishing de ofertas de trabajo falsas para violar las redes corporativas.

Según Elastic Security Labs, que descubrió la nueva amenaza, Warmcookie es capaz de realizar extensas tomas de huellas dactilares de la máquina (machine fingerprinting), capturas de pantalla y el despliegue de cargas útiles adicionales.

La campaña está actualmente en marcha y los actores de amenazas crean nuevos dominios semanalmente para respaldar sus operaciones maliciosas, utilizando infraestructura comprometida para enviar correos electrónicos de phishing.

Las ofertas de trabajo falsas impulsan el malware

La campaña de phishing utiliza ofertas de empleo y contratación falsas enviadas por correo electrónico con asuntos que llaman la atención. Se dirigen a personas con toques de personalización, utilizando sus nombres y los de sus empleadores actuales.

Email de Phishing
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los correos electrónicos contienen un enlace que dice ser para una plataforma de contratación interna donde se puede ver la descripción del trabajo, pero redirige al usuario a páginas de destino que imitan plataformas legítimas.

Página de destino engañosa
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para agregar legitimidad, esas páginas falsas solicitan a la víctima que resuelva un CAPTCHA antes de descargar un archivo JavaScript muy ofuscado con un nombre similar a 'Update_23_04_2024_5689382'.

Cuando se ejecuta, el script JS ejecuta un script de PowerShell que utiliza el Servicio de transferencia inteligente en segundo plano (BITS) para descargar el archivo DLL Warmcookie desde una URL específica y ejecutarlo a través de rundll32.exe.

La carga útil de Warmcookie se copia en C:\ProgramData\RtlUpd\RtlUpd.dll y, tras la primera ejecución, crea una tarea programada denominada 'RtlUpd' que se ejecuta cada 10 minutos.

Tarea programada de Warmcookie
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En la fase de configuración final, Warmcookie establece comunicación con su servidor de comando y control (C2) y comienza a tomar huellas digitales de la máquina de la víctima.

Descripción general de la cadena de ataque
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Capacidades de Warmcookie

Warmcookie es un malware de puerta trasera con varias capacidades diseñadas para infiltrarse, persistir y recopilar inteligencia de los sistemas de las víctimas.

En la primera etapa de su operación, recopila información clave sobre el host infectado, incluido el número de serie del volumen, el dominio DNS, el nombre de la computadora y el nombre de usuario, y luego cifra y envía los datos al C2 a través del parámetro de cookie HTTP.

Las principales capacidades de Warmcookie son:

 Recuperar información de la víctima, como la dirección IP y los detalles de la CPU.

 Realizar capturas de pantalla utilizando herramientas nativas de Windows

 Enumerar los programas instalados a través de la clave de registro

 Ejecutar comandos arbitrarios usando 'cmd.exe' y envíar la salida al C2

 Soltar archivos en directorios/rutas específicas

 Leer el contenido de archivos específicos y enviar contenido a C2

Todos los comandos recibidos se procesan mediante una verificación de integridad utilizando sumas de verificación CRC32 para garantizar que no hayan sido manipulados.

Además, el malware no se ejecutará si la cantidad de procesadores de CPU y los valores de memoria física/virtual están por debajo de ciertos umbrales para evadir entornos de análisis.

Los analistas de Elastic comentan que, a pesar de que Warmcookie es una nueva puerta trasera con mucho margen de mejora, ya es totalmente capaz de infligir un daño significativo a sus objetivos, especialmente dada su capacidad para introducir cargas útiles adicionales.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario