WARMCOOKIE: кликвате върху свободно работно място и получавате вирус
Дълго време не можете да си намерите работа? Виновни са киберпрестъпниците!
Изследователи в региона на киберсигурността от Elastic Security Labs разкриха детайлности за дейна фишинг акция, която употребява тема, обвързвана със заетостта, с цел да популяризира злотворен програмен продукт, наименуван WARMCOOKIE.
„ Всеки пример на WARMCOOKIE е формиран с твърдо кодиран IP адрес и RC4 ключ„, оповестява Даниел Степанич, анализатор в Elastic Security Labs. Този злотворен програмен продукт е кадърен да сканира инфектираните машини, да прави фотоси на екрана и да изтегля различен злотворен програмен продукт.
От края на месец април до момента специалистите следят огромна злонамерена интервенция, при която се употребяват имейли от името на огромни компании за набиране на личен състав като Hays, Michael Page и PageGroup. Дейността на нападателите се наблюдава от откривателите под идентификатора REF6127.
Атаката стартира с предложение към евентуален претендент да кликне върху линк в електронно писмо, с цел да прегледа подобаващото свободно работно място. След като кликне върху линка, би трябвало да реши капча, с цел да изтегли стремежи документ. В резултат на това на компютъра на жертвата се изтегля JavaScript файл с име „ Update_23_04_2024_5689382.js “.
„ Този прикрит скрипт започва PowerShell, който инициира изтеглянето на WARMCOOKIE “,
обяснява Elastic
Скриптът на PowerShell употребява услугата Windows Background Intelligent Transfer Service ( BITS ), с цел да изтегли зловредния програмен продукт.
Ключов детайл от акцията за злотворен програмен продукт е потреблението на компрометирана инфраструктура за разполагане на първичния фишинг URL адрес, който пренасочва жертвите към вярната страница.
WARMCOOKIE, като DLL на Windows, минава през двуетапен развой за определяне на неизменност в системата посредством планувана задача и осъществяване на съществени функционалности, като авансово извършва антианализ, с цел да заобиколи откриването.
Схемата на офанзивата WARMCOOKIE Вирусът е предопределен за събиране на обширна информация за инфектирания хост. Той поддържа команди за четене и запис на файлове, осъществяване на команди посредством CMD, приемане на лист с конфигурираните приложения и правене на скрийншоти.
„ WARMCOOKIE е неотдавна открит злотворен програмен продукт, който набира известност и се употребява в разнообразни злонамерени акции по целия свят “,
заявява Elastic.
Темата за търсене и назначение на работа постоянно е мотив за хакерите да популяризират злотворен програмен продукт.
