back to top
Τετάρτη, 19 Ιουνίου, 2024
ΑρχικήnewsΑνακοίνωση για ψεύτικες προσφορές εργασίας με Windows Warmcookie

Ανακοίνωση για ψεύτικες προσφορές εργασίας με Windows Warmcookie


Εικόνα: Midjourney

Ένα κακόβουλο λογισμικό Windows με το όνομα «Warmcookie» που δεν είχε ξαναδεί ποτέ, διανέμεται μέσω καμπανιών ψαρέματος με ψεύτικες προσφορές εργασίας για την παραβίαση εταιρικών δικτύων.

Σύμφωνα με Εργαστήρια Elastic Securityπου ανακάλυψε τη νέα απειλή, το Warmcookie έχει τη δυνατότητα εκτεταμένης λήψης δακτυλικών αποτυπωμάτων από μηχανή, λήψης στιγμιότυπων οθόνης και ς πρόσθετων ωφέλιμων φορτίων.

Η εκστρατεία βρίσκεται σε εξέλιξη και οι φορείς απειλών δημιουργούν νέους τομείς εβδομαδιαίως για να υποστηρίξουν τις κακόβουλες λειτουργίες τους, χρησιμοποιώντας παραβιασμένη υποδομή για την αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος.

Ψεύτικες προσφορές εργασίας push

Η εκστρατεία ηλεκτρονικού ψαρέματος χρησιμοποιεί ψεύτικες προσφορές εργασίας και προσλήψεων που αποστέλλονται μέσω email με θέματα που τραβούν την προσοχή. Στοχεύουν άτομα με πινελιές εξατομίκευσης, χρησιμοποιώντας τα ονόματά τους και τα ονόματα των σημερινών εργοδοτών τους.

Το email phishing
Το email
Πηγή: Elastic

Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν έναν σύνδεσμο που ισχυρίζεται ότι προορίζεται για μια εσωτερική πλατφόρμα προσλήψεων όπου μπορεί να προβληθεί η περιγραφή της θέσης εργασίας, αλλά ανακατευθύνει τον χρήστη σε σελίδες προορισμού που μιμούνται νόμιμες πλατφόρμες.

Παραπλανητική σελίδα προορισμού
Παραπλανητική σελίδα προορισμού
Πηγή: Elastic

Για να προστεθεί νομιμότητα, αυτές οι ψεύτικες σελίδες προτρέπουν το θύμα να λύσει ένα CAPTCHA προτού πραγματοποιήσει λήψη ενός αρχείου JavaScript με μεγάλη σύγχυση με το όνομα “Update_23_04_2024_5689382”.

Όταν εκτελείται, η δέσμη ενεργειών JS εκτελεί μια δέσμη ενεργειών PowerShell που χρησιμοποιεί την υπηρεσία Background Intelligent Transfer Service (BITS) για τη λήψη του αρχείου Warmcookie DLL από μια καθορισμένη διεύθυνση URL και την εκτέλεση του μέσω του rundll32.exe.

Το ωφέλιμο φορτίο Warmcookie αντιγράφεται στο C:\ProgramData\RtlUpd\RtlUpd.dll και κατά την πρώτη εκτέλεση δημιουργεί μια προγραμματισμένη εργασία με το όνομα ‘RtlUpd' που εκτελείται κάθε 10 λεπτά.

Η προγραμματισμένη εργασία του Warmcookie
Η προγραμματισμένη εργασία του Warmcookie
Πηγή: Elastic

Στην τελική φάση εγκατάστασης, το Warmcookie δημιουργεί με τον διακομιστή εντολών και ελέγχου (C2) του και ξεκινά τη λήψη δακτυλικών αποτυπωμάτων στο μηχάνημα του θύματος.

Επισκόπηση αλυσίδας επίθεσης
Επισκόπηση αλυσίδας επίθεσης
Πηγή: Elastic

Δυνατότητες Warmcookie

Το Warmcookie είναι ένα κακόβουλο λογισμικό backdoor με διάφορες δυνατότητες που έχουν σχεδιαστεί για να διεισδύουν, να επιμένουν και να συλλέγουν πληροφορίες από συστήματα θυμάτων.

Στο πρώτο στάδιο της λειτουργίας του, συλλέγει βασικές πληροφορίες σχετικά με τον μολυσμένο κεντρικό υπολογιστή, συμπεριλαμβανομένου του σειριακού αριθμού τόμου, του τομέα DNS, του ονόματος υπολογιστή και του ονόματος χρήστη, και στη συνέχεια κρυπτογραφεί και στέλνει τα δεδομένα στο C2 μέσω της παραμέτρου cookie HTTP.

Οι κύριες δυνατότητες του Warmcookie είναι:

  • Ανάκτηση πληροφοριών του θύματος, όπως διεύθυνση IP και λεπτομέρειες CPU
  • Καταγράψτε στιγμιότυπα οθόνης χρησιμοποιώντας εγγενή εργαλεία των Windows
  • Απαριθμήστε τα εγκατεστημένα προγράμματα μέσω του κλειδιού μητρώου
  • Εκτελέστε αυθαίρετες εντολές χρησιμοποιώντας το ‘cmd.exe' και στείλτε την έξοδο στο C2
  • Απόθεση αρχείων σε καθορισμένους καταλόγους/διαδρομές
  • Διαβάστε τα περιεχόμενα των καθορισμένων αρχείων και στείλτε περιεχόμενο στο C2
Στιγμιότυπο οθόνης από Warmcookie
Στιγμιότυπο οθόνης από Warmcookie
Πηγή: Elastic

Όλες οι λαμβανόμενες εντολές υποβάλλονται σε επεξεργασία μέσω ελέγχου ακεραιότητας χρησιμοποιώντας αθροίσματα ελέγχου CRC32 για να διασφαλιστεί ότι δεν έχουν παραβιαστεί.

Επίσης, το κακόβουλο λογισμικό δεν θα εκτελεστεί εάν ο αριθμός των επεξεργαστών CPU και οι τιμές φυσικής/εικονικής ς είναι κάτω από ορισμένα όρια για την αποφυγή περιβαλλόντων ανάλυσης.

Οι αναλυτές της Elastic σχολιάζουν ότι παρά το γεγονός ότι το Warmcookie είναι μια νέα κερκόπορτα με πολλά περιθώρια βελτίωσης, είναι ήδη πλήρως ικανό να προκαλέσει σημαντική ζημιά στους στόχους του, ειδικά δεδομένης της ικανότητάς του να εισάγει πρόσθετα ωφέλιμα φορτία.



VIA: bleepingcomputer.com

Marizas Dimitris
Marizas Dimitrishttps://www.cybervista.gr
Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν. Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.
RELATED ARTICLES

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

Most Popular

Last Articles