Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de phishing em andamento que aproveita iscas com temas de recrutamento e trabalho para fornecer um backdoor baseado em Home windows chamado WARMCOOKIE.
“WARMCOOKIE parece ser uma ferramenta inicial de backdoor usada para explorar redes de vítimas e implantar cargas adicionais”, disse Daniel Stepanic, pesquisador do Elastic Safety Labs, em uma nova análise. “Cada amostra é compilada com um endereço IP codificado (comando e controle) e uma chave RC4.”
O backdoor vem com recursos para imprimir impressões digitais de máquinas infectadas, capturar capturas de tela e descartar mais programas maliciosos. A empresa está monitorando a atividade sob o nome REF6127.
As cadeias de ataques observadas desde o last de abril envolvem o uso de mensagens de e-mail supostamente provenientes de empresas de recrutamento como Hays, Michael Web page e PageGroup, instando os destinatários a clicar em um hyperlink incorporado para visualizar detalhes sobre uma oportunidade de emprego.
Os usuários que clicam no hyperlink são solicitados a baixar um documento resolvendo um desafio CAPTCHA, após o qual um arquivo JavaScript (“Update_23_04_2024_5689382.js”) é descartado.
“Este script ofuscado executa o PowerShell, iniciando a primeira tarefa de carregamento do WARMCOOKIE”, disse Elastic. “O script do PowerShell abusa do Background Clever Switch Service (BITS) para baixar WARMCOOKIE.”
Um componente essential da campanha é o uso de infraestrutura comprometida para hospedar o URL de phishing inicial, que é então usado para redirecionar as vítimas para a página de destino apropriada.
Uma DLL do Home windows, WARMCOOKIE, segue um processo de duas etapas que permite estabelecer persistência usando uma tarefa agendada e iniciar a funcionalidade principal, mas não antes de realizar uma série de verificações anti-análise para evitar a detecção.
O backdoor foi projetado para capturar informações sobre o host infectado de uma maneira semelhante a um artefato usado em conexão com uma campanha anterior de codinome Resident, que tinha como alvo organizações industriais, comerciais e de saúde.
Ele também suporta comandos para ler e gravar arquivos, executar comandos usando cmd.exe, buscar a lista de aplicativos instalados e capturar capturas de tela.
“WARMCOOKIE é um backdoor recém-descoberto que está ganhando popularidade e sendo usado em campanhas direcionadas a usuários em todo o mundo”, disse Elastic.
A divulgação ocorre no momento em que o Trustwave SpiderLabs detalha uma sofisticada campanha de phishing que emprega iscas relacionadas a faturas e aproveita a funcionalidade de pesquisa do Home windows incorporada no código HTML para implantar malware.
“A funcionalidade fornecida é relativamente simples, permitindo que grupos de ameaças que precisam de um backdoor leve monitorem as vítimas e implantem cargas prejudiciais adicionais, como ransomware.”
As mensagens de e-mail contêm um arquivo ZIP contendo um arquivo HTML, que usa o manipulador de protocolo URI “search:” herdado do Home windows para exibir um arquivo de atalho (LNK) hospedado em um servidor remoto no Home windows Explorer, dando a impressão de que é um resultado de pesquisa native .
“Este arquivo LNK aponta para um script em lote (BAT) hospedado no mesmo servidor, que, após o clique do usuário, pode desencadear operações maliciosas adicionais”, disse Trustwave, acrescentando que não foi possível recuperar o script em lote porque o servidor não estava respondendo.
É importante notar que o abuso de search-ms: e search: como vetor de distribuição de malware foi documentado pela Trellix em julho de 2023.
“Embora este ataque não make the most of a instalação automatizada de malware, ele exige que os usuários se envolvam com vários prompts e cliques”, disse a empresa. “No entanto, essa técnica obscurece habilmente a verdadeira intenção do invasor, explorando a confiança que os usuários depositam em interfaces familiares e ações comuns, como abrir anexos de e-mail”.
