Nova campanha de phishing implanta backdoor WARMCOOKIE visando candidatos a emprego
![cyberattack](https://i0.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsnwD8qAGiKWVL4GrVv-wBN31h7NRaVtzvMhiHNiHFwIaWcN4MyYCsZGMVjh-v_WlETv7Ug9Qlt6dOXMsW_jDHmla4kTWzahPnI5WxL-KtSgMt6VmD7_bJAVZ0tjpslPMPqrXel-Qan3IPpCJrkWKM_RY4U9bijyZ3qwFzIjpR3YiDTNsnDgd2bv_wZYbt/s728-rw-e365/cyberattack.png?w=780&resize=780,470&ssl=1)
![Porta dos fundos WARMCOOKIE Porta dos fundos WARMCOOKIE](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsnwD8qAGiKWVL4GrVv-wBN31h7NRaVtzvMhiHNiHFwIaWcN4MyYCsZGMVjh-v_WlETv7Ug9Qlt6dOXMsW_jDHmla4kTWzahPnI5WxL-KtSgMt6VmD7_bJAVZ0tjpslPMPqrXel-Qan3IPpCJrkWKM_RY4U9bijyZ3qwFzIjpR3YiDTNsnDgd2bv_wZYbt/s728-rw-e365/cyberattack.png)
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de phishing em andamento que aproveita iscas com temas de recrutamento e trabalho para fornecer um backdoor baseado em Home windows chamado WARMCOOKIE.
“WARMCOOKIE parece ser uma ferramenta inicial de backdoor usada para explorar redes de vítimas e implantar cargas adicionais”, disse Daniel Stepanic, pesquisador do Elastic Safety Labs, em uma nova análise. “Cada amostra é compilada com um endereço IP codificado (comando e controle) e uma chave RC4.”
O backdoor vem com recursos para imprimir impressões digitais de máquinas infectadas, capturar capturas de tela e descartar mais programas maliciosos. A empresa está monitorando a atividade sob o nome REF6127.
As cadeias de ataques observadas desde o last de abril envolvem o uso de mensagens de e-mail supostamente provenientes de empresas de recrutamento como Hays, Michael Web page e PageGroup, instando os destinatários a clicar em um hyperlink incorporado para visualizar detalhes sobre uma oportunidade de emprego.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgR7E1qRRSUEJ-s4SYjJyg86aIAQOaMp5FvpkoqPyXA96orlo56U7cHxx_4exvmzX4D7da3V5rwTh9UsPKdnmuFevloSDG9qHTWmIewJYxRXDLD5129MODBMllFC5Wt8eyQCWEOpJbKhjYFXxAtpOnMzgfxTpSJqW8Ox2XvXu46YwHR9X7lKof0ZREICgHy/s728-e365/1p-d-v3.png)
Os usuários que clicam no hyperlink são solicitados a baixar um documento resolvendo um desafio CAPTCHA, após o qual um arquivo JavaScript (“Update_23_04_2024_5689382.js”) é descartado.
“Este script ofuscado executa o PowerShell, iniciando a primeira tarefa de carregamento do WARMCOOKIE”, disse Elastic. “O script do PowerShell abusa do Background Clever Switch Service (BITS) para baixar WARMCOOKIE.”
Um componente essential da campanha é o uso de infraestrutura comprometida para hospedar o URL de phishing inicial, que é então usado para redirecionar as vítimas para a página de destino apropriada.
Uma DLL do Home windows, WARMCOOKIE, segue um processo de duas etapas que permite estabelecer persistência usando uma tarefa agendada e iniciar a funcionalidade principal, mas não antes de realizar uma série de verificações anti-análise para evitar a detecção.
O backdoor foi projetado para capturar informações sobre o host infectado de uma maneira semelhante a um artefato usado em conexão com uma campanha anterior de codinome Resident, que tinha como alvo organizações industriais, comerciais e de saúde.
![Porta dos fundos WARMCOOKIE Porta dos fundos WARMCOOKIE](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRFViRmxI_AdlMSn8vuSBwtPMfOmi4ix5jAt8NY3-T1iM9eyAAhX5pxli_VVYLqUa6cjGBcJqaG9dDyY-p_WZ3Ryf9XOQUu6GjwXs8w0cHAK-tlA8PukkA4ndTo5_aYITnYSg7P3nQwTIaWrdwzzXHNjxcpqSAHl9VlowialYvsVYEfL8D4juq4a_EerSZ/s728-rw-e365/elastic.png)
Ele também suporta comandos para ler e gravar arquivos, executar comandos usando cmd.exe, buscar a lista de aplicativos instalados e capturar capturas de tela.
“WARMCOOKIE é um backdoor recém-descoberto que está ganhando popularidade e sendo usado em campanhas direcionadas a usuários em todo o mundo”, disse Elastic.
A divulgação ocorre no momento em que o Trustwave SpiderLabs detalha uma sofisticada campanha de phishing que emprega iscas relacionadas a faturas e aproveita a funcionalidade de pesquisa do Home windows incorporada no código HTML para implantar malware.
“A funcionalidade fornecida é relativamente simples, permitindo que grupos de ameaças que precisam de um backdoor leve monitorem as vítimas e implantem cargas prejudiciais adicionais, como ransomware.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
As mensagens de e-mail contêm um arquivo ZIP contendo um arquivo HTML, que usa o manipulador de protocolo URI “search:” herdado do Home windows para exibir um arquivo de atalho (LNK) hospedado em um servidor remoto no Home windows Explorer, dando a impressão de que é um resultado de pesquisa native .
“Este arquivo LNK aponta para um script em lote (BAT) hospedado no mesmo servidor, que, após o clique do usuário, pode desencadear operações maliciosas adicionais”, disse Trustwave, acrescentando que não foi possível recuperar o script em lote porque o servidor não estava respondendo.
É importante notar que o abuso de search-ms: e search: como vetor de distribuição de malware foi documentado pela Trellix em julho de 2023.
“Embora este ataque não make the most of a instalação automatizada de malware, ele exige que os usuários se envolvam com vários prompts e cliques”, disse a empresa. “No entanto, essa técnica obscurece habilmente a verdadeira intenção do invasor, explorando a confiança que os usuários depositam em interfaces familiares e ações comuns, como abrir anexos de e-mail”.