GÜNCELLEME: Orijinal makalemiz bunun yeni bir arka kapı olduğunu, ancak daha önce Esentir tarafından keşfedildiğini belirtti. Makaleyi güncelledik.
'Warmcookie' adlı bir Windows kötü amaçlı yazılım, şirket ağlarını ihlal etmek için sahte iş teklifi kimlik avı kampanyaları aracılığıyla dağıtılır.
Kampanyayı keşfeden Elastik Güvenlik Laboratuarlarına göre, Warmcookie kapsamlı makine parmak izi, ekran görüntüsü yakalama ve ek yüklerin dağıtılması yeteneğine sahiptir.
Kampanya şu anda devam ediyor ve tehdit aktörleri, kimlik avı e -postaları göndermek için tehlikeye atılmış altyapı kullanarak kötü amaçlı işlemlerini desteklemek için haftalık olarak yeni alanlar oluşturuyor.
Kötü amaçlı yazılım, daha önce Haziran 2023'te Esentir tarafından keşfedildi ve bu da ödenmemiş faturalar hakkında bildirim olduğunu iddia eden kimlik avı saldırılarında dağıtıldığını gördü.
Kimlik avı kampanyası sahte iş ve işe alım tekliflerini dikkat çekici konulara sahip e-postalar aracılığıyla gönderir. Bireyleri kişiselleştirme dokunuşları, isimlerini ve mevcut işverenlerinin adlarını kullanarak hedefliyorlar.
E -postalar, iş tanımının görüntülenebileceği ancak kullanıcıyı meşru platformları taklit eden açılış sayfalarına yönlendiren dahili bir işe alım platformu için olduğunu iddia eden bir bağlantı içerir.
Meşruiyet eklemek için, bu sahte sayfalar kurbanı 'Update_23_04_2024_5689382' adlı ağır bir şekilde gizlenmiş bir JavaScript dosyasını indirmeden önce bir captcha çözmesini ister.
Yürütüldüğünde, JS komut dosyası, belirli bir URL'den WarmCookie DLL dosyasını indirmek ve Rundll32.exe aracılığıyla yürütmek için arka plan akıllı aktarım hizmetini (BITS) kullanan bir PowerShell komut dosyası yürütür.
WarmCookie yükü c: \ ProgramData \ rtlupd.dll olarak kopyalanır ve ilk yürütme üzerine, her 10 dakikada bir çalıştırılan 'RTLUPD' adlı planlanmış bir görev oluşturur.
Son kurulum aşamasında, Warmcookie komut ve kontrol (C2) sunucusu ile iletişim kurar ve kurbanın makinesini parmak izlemeye başlar.
Warmcookie, kurban sistemlerinden sızmak, devam etmek ve istihbarat toplamak için tasarlanmış çeşitli özelliklere sahip bir arka kapı kötü amaçlı yazılımdır.
İşleminin ilk aşamasında, hacim seri numarası, DNS etki alanı, bilgisayar adı ve kullanıcı adı dahil olmak üzere enfekte ana bilgisayar hakkında temel bilgiler toplar ve ardından HTTP çerez parametresi aracılığıyla verileri C2'ye şifreler ve gönderir.
Warmcookie'nin ana yetenekleri:
Alınan tüm komutlar, kurcalanmadığından emin olmak için CRC32 sağlama toplamları kullanılarak bir bütünlük kontrolü yoluyla işlenir.
Ayrıca, CPU işlemcilerinin sayısı ve fiziksel/sanal bellek değerleri analiz ortamlarından kaçınmak için belirli eşiklerin altındaysa kötü amaçlı yazılım çalışmaz.
Elastik analistler, Warmcookie'nin iyileştirme için bolca alana sahip olmasına rağmen, özellikle ek yükler getirme kabiliyeti göz önüne alındığında, zaten hedeflerine önemli hasar verebileceğini söylüyor.
GÜNCELLEME 6/12/24: Bunun yeni bir arka kapı olmadığını, ancak 2023'te Esentir tarafından keşfedildiğini düzeltmek için güncellenmiş hikaye. Orijinal hikayemiz burada.
Yeni Latrodectus kötü amaçlı yazılım saldırıları Microsoft, Cloudflare temalarını kullanıyor
Tedarik Zinciri Saldırısında Backdoeded JAVS Mahkeme Salonu Kayıt Yazılımı
Bankacılık kötü amaçlı yazılım Grandoreiro, polis kesintisinden sonra geri döner
Milyonlarca Docker Repoları Bulunan Kötü Yazılım, Kimlik Avukat Siteleri
Yeni Wpeeper Android kötü amaçlı yazılım, hacklenen WordPress sitelerinin arkasına saklanıyor
Kaynak: Bleeping Computer