WARMCOOKIE, REF6127 adlı işe alım temasıyla kimlik avı amacıyla dağıtılan yeni bir Windows arka kapısıdır.
WARMCOOKIE arka kapısı, hedef bilgisayarın ekran görüntülerini almak, ek yükler sağlamak ve bir sistemin parmak izini almak için kullanılabilir.
Elastic Security Labs, Cyber Security News ile yaptığı paylaşımda “Bu kötü amaçlı yazılım, hedef ortamlara erişme ve ek kötü amaçlı yazılım türlerini kurbanlara gönderme yeteneği sağlayan zorlu bir tehdidi temsil ediyor” dedi.
WARMCOOKIE Yürütme Akışı
Araştırmacılar, Nisan 2024’ün sonlarından bu yana işe alım firmalarıyla ilişkili tuzakları kullanan kimlik avı çabalarını gözlemliyor.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot.
Alıcılara adlarına ve mevcut işverenlerine göre hitap eden bu e-postalar, onları iş tanımını okuyabilecekleri dahili bir sisteme yönlendirecek bir bağlantıya tıklayarak yeni iş aramaya teşvik etti.
.webp)
Tıkladıktan sonra kullanıcılar, yalnızca kendileri için oluşturulmuş orijinal bir web sitesi gibi görünen bir açılış sayfasına yönlendirilir.
Orada bir belgeyi indirmek için CAPTCHA testini tamamlamaları gerekir. URSNIF’in yeni bir varyasyonundan bahseden açılış sayfaları, Google Cloud güvenlik ekibinin belirlediği önceki kampanyalara benziyor.
.webp)
CAPTCHA çözüldüğünde sayfadan gizlenmiş bir JavaScript dosyası indirilir. Bu karmaşık komut dosyası PowerShell’i başlatarak WARMCOOKIE’yi yüklemek için ilk görevi başlatır.
PowerShell betiği, WARMCOOKIE’yi indirmek ve DLL’yi başlatmak için Arka Plan Akıllı Aktarım Hizmetini (BITS) kullanır.
Araştırmacılar şunu belirtiyor: 45.9.74[.]135, tehdit aktörünün sürekli ve hızlı bir şekilde yeni açılış sayfaları oluşturduğu IP adresidir.
Aktör, sektörle ilgili anahtar kelimeleri birleştirirken çeşitli işe alım kurumlarını hedeflemeye çalıştı.
.webp)
Arka kapı, ilk giden ağ isteğini göndermeden önce aşağıdaki değerleri toplar ve bunlar, hedef sistemi tanımlamak ve parmak izini almak için kullanılır.
- Cilt seri numarası
- Kurban makinenin DNS alanı
- Bilgisayar adı
- Kullanıcı adı
Özellikle kurbanların bilgisayarlarından ekran görüntüsü alabilen kötü amaçlı yazılım, ekranda görünen özel verileri kullanmak veya kurbanın bilgisayarını yakından takip etmek gibi çeşitli zararlı olanaklar sunuyor.
.webp)
Analistlere göre tehdit aktörleri bu kampanyaları desteklemek için her hafta yeni altyapı ve alanlar oluşturuyor.
Araştırmacılar, “Kötü amaçlı yazılım geliştirme tarafında iyileştirmeye yer olsa da, bu küçük sorunların zaman içinde çözüleceğine inanıyoruz” sonucuna vardı.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free