Исследователи кибербезопасности раскрыли подробности продолжающейся фишинг-кампании, в которой используются приманки, связанные с набором персонала и работой, для создания бэкдора под управлением Windows под названием WARMCOOKIE.
"WARMCOOKIE, похоже, является первоначальным бэкдором, используемым для выявления сетей жертв и развертывания дополнительных полезных нагрузок", - сказал исследователь Elastic Security Labs Дэниел Степанич в новом анализе. "Каждый образец компилируется с использованием жестко закодированного IP-адреса [command-and-control] и ключа RC4".
Бэкдор позволяет снимать отпечатки пальцев с зараженных компьютеров, делать скриншоты и удалять другие вредоносные программы. Компания отслеживает активность под именем REF6127.
Цепочки атак, наблюдаемые с конца апреля, включают использование электронных писем, якобы от рекрутинговых фирм, таких как Hays, Michael Page и PageGroup, призывающих получателей нажать на встроенную ссылку, чтобы просмотреть подробную информацию о возможности трудоустройства.
Пользователям, которые в конечном итоге переходят по ссылке, предлагается загрузить документ путем решения проблемы с капчей, после чего файл JavaScript ("Update_23_04_2024_5689382.js") удаляется.
"Этот запутанный скрипт запускает PowerShell, запускающий первую задачу по загрузке WARMCOOKIE", - сказал Elastic. "Скрипт PowerShell злоупотребляет фоновой службой интеллектуальной передачи данных (BITS) для загрузки WARMCOOKIE".
Важным компонентом кампании является использование взломанной инфраструктуры для размещения исходного фишингового URL, который затем используется для перенаправления жертв на соответствующую целевую страницу.
WARMCOOKIE является библиотекой DLL для Windows и выполняет двухэтапный процесс, который позволяет установить постоянство с помощью запланированной задачи и запустить основные функциональные возможности, но не раньше, чем выполнить серию проверок антианализа, чтобы обойти обнаружение.
Бэкдор предназначен для сбора информации о зараженном хосте способом, аналогичным артефакту, использованному в связи с предыдущей кампанией под кодовым названием Resident, нацеленной на производственные, коммерческие организации и учреждения здравоохранения.
Он также поддерживает команды для чтения и записи в файлы, выполнения команд с помощью cmd.exe, получения списка установленных приложений и получения скриншотов.
"WARMCOOKIE - это недавно обнаруженный бэкдор, который набирает популярность и используется в кампаниях, нацеленных на пользователей по всему миру", - сказали в Elastic.
Раскрытие происходит после того, как Trustwave SpiderLabs подробно описала сложную фишинговую кампанию, в которой используются приманки, связанные со счетами, и используются преимущества функции поиска Windows, встроенной в HTML-код, для развертывания вредоносного ПО.
"Предоставляемая функциональность относительно проста, позволяя группам угроз, которым нужен легкий бэкдор, отслеживать жертв и внедрять дополнительные вредоносные программы, такие как программы-вымогатели".
Сообщения электронной почты содержат ZIP-архив, содержащий HTML-файл, который использует устаревший обработчик URI-протокола Windows "search:" для отображения файла ярлыка (LNK), размещенного на удаленном сервере, в проводнике Windows, создавая впечатление, что это результат локального поиска.
"Этот файл LNK указывает на пакетный скрипт (BAT), размещенный на том же сервере, который при нажатии пользователем потенциально может вызвать дополнительные вредоносные операции", - сказал Trustwave, добавив, что не смог получить пакетный скрипт из-за того, что сервер не отвечает.
Стоит отметить, что злоупотребление search-ms: и search: в качестве вектора распространения вредоносного ПО было задокументировано Trellix в июле 2023 года.
"Хотя в этой атаке не используется автоматическая установка вредоносного ПО, она требует от пользователей использования различных подсказок и кликов", - заявили в компании. "Однако этот метод умело скрывает истинные намерения злоумышленника, используя доверие пользователей к знакомым интерфейсам и обычным действиям, таким как открытие вложений электронной почты".
"WARMCOOKIE, похоже, является первоначальным бэкдором, используемым для выявления сетей жертв и развертывания дополнительных полезных нагрузок", - сказал исследователь Elastic Security Labs Дэниел Степанич в новом анализе. "Каждый образец компилируется с использованием жестко закодированного IP-адреса [command-and-control] и ключа RC4".
Бэкдор позволяет снимать отпечатки пальцев с зараженных компьютеров, делать скриншоты и удалять другие вредоносные программы. Компания отслеживает активность под именем REF6127.
Цепочки атак, наблюдаемые с конца апреля, включают использование электронных писем, якобы от рекрутинговых фирм, таких как Hays, Michael Page и PageGroup, призывающих получателей нажать на встроенную ссылку, чтобы просмотреть подробную информацию о возможности трудоустройства.
Пользователям, которые в конечном итоге переходят по ссылке, предлагается загрузить документ путем решения проблемы с капчей, после чего файл JavaScript ("Update_23_04_2024_5689382.js") удаляется.
"Этот запутанный скрипт запускает PowerShell, запускающий первую задачу по загрузке WARMCOOKIE", - сказал Elastic. "Скрипт PowerShell злоупотребляет фоновой службой интеллектуальной передачи данных (BITS) для загрузки WARMCOOKIE".
Важным компонентом кампании является использование взломанной инфраструктуры для размещения исходного фишингового URL, который затем используется для перенаправления жертв на соответствующую целевую страницу.
WARMCOOKIE является библиотекой DLL для Windows и выполняет двухэтапный процесс, который позволяет установить постоянство с помощью запланированной задачи и запустить основные функциональные возможности, но не раньше, чем выполнить серию проверок антианализа, чтобы обойти обнаружение.
Бэкдор предназначен для сбора информации о зараженном хосте способом, аналогичным артефакту, использованному в связи с предыдущей кампанией под кодовым названием Resident, нацеленной на производственные, коммерческие организации и учреждения здравоохранения.
Он также поддерживает команды для чтения и записи в файлы, выполнения команд с помощью cmd.exe, получения списка установленных приложений и получения скриншотов.
"WARMCOOKIE - это недавно обнаруженный бэкдор, который набирает популярность и используется в кампаниях, нацеленных на пользователей по всему миру", - сказали в Elastic.
Раскрытие происходит после того, как Trustwave SpiderLabs подробно описала сложную фишинговую кампанию, в которой используются приманки, связанные со счетами, и используются преимущества функции поиска Windows, встроенной в HTML-код, для развертывания вредоносного ПО.
"Предоставляемая функциональность относительно проста, позволяя группам угроз, которым нужен легкий бэкдор, отслеживать жертв и внедрять дополнительные вредоносные программы, такие как программы-вымогатели".
Сообщения электронной почты содержат ZIP-архив, содержащий HTML-файл, который использует устаревший обработчик URI-протокола Windows "search:" для отображения файла ярлыка (LNK), размещенного на удаленном сервере, в проводнике Windows, создавая впечатление, что это результат локального поиска.
"Этот файл LNK указывает на пакетный скрипт (BAT), размещенный на том же сервере, который при нажатии пользователем потенциально может вызвать дополнительные вредоносные операции", - сказал Trustwave, добавив, что не смог получить пакетный скрипт из-за того, что сервер не отвечает.
Стоит отметить, что злоупотребление search-ms: и search: в качестве вектора распространения вредоносного ПО было задокументировано Trellix в июле 2023 года.
"Хотя в этой атаке не используется автоматическая установка вредоносного ПО, она требует от пользователей использования различных подсказок и кликов", - заявили в компании. "Однако этот метод умело скрывает истинные намерения злоумышленника, используя доверие пользователей к знакомым интерфейсам и обычным действиям, таким как открытие вложений электронной почты".
