Un malware Windows inédit nommé « Warm cookie » est distribué via de fausses campagnes de phishing d’offres d’emploi pour violer les réseaux d’entreprise.

Selon Elastic Security Labs, qui a découvert la nouvelle menace, Warm cookie est capable de prendre des empreintes digitales étendues, de capturer des captures d’écran et de déployer des charges utiles supplémentaires.

La campagne est actuellement en cours et les auteurs de menaces créent de nouveaux domaines chaque semaine pour soutenir leurs opérations malveillantes, en utilisant une infrastructure compromise pour envoyer des e-mails de phishing.

Les fausses offres d’emploi poussent les logiciels malveillants
La campagne de phishing utilise de fausses offres d’emploi et de recrutement envoyées par e-mail avec des sujets qui attirent l’attention. Ils ciblent les individus avec des touches de personnalisation, en utilisant leurs noms et ceux de leurs employeurs actuels.

L’e-mail de phishing

Les e-mails contiennent un lien qui prétend être pour une plate-forme de recrutement interne où la description de poste peut être consultée mais redirige l’utilisateur vers des pages de destination imitant des plates-formes légitimes.

Page de destination trompeuse

Pour ajouter de la légitimité, ces fausses pages invitent la victime à résoudre un CAPTCHA avant de télécharger un fichier JavaScript fortement obscurci nommé similaire à ‘Update_23_04_2024_5689382’.

Lorsqu’il est exécuté, le script JS exécute un script PowerShell qui utilise le service de transfert intelligent en arrière-plan (BITS) pour télécharger le fichier DLL Warmcookie à partir d’une URL spécifiée et l’exécuter via rundll32.exé.

La charge utile du cookie chaud est copiée dans C:\ProgramData\RtlUpd\RtlUpd.dll, et lors de la première exécution, il crée une tâche planifiée nommée « RtlUpd » qui s’exécute toutes les 10 minutes.

Tâche planifiée de Warm cookie

Dans la phase d’installation finale, Warm cookie établit la communication avec son serveur de commande et de contrôle (C2) et commence à prendre les empreintes digitales de la machine de la victime.

Vue d’ensemble de la chaîne d’attaque

Capacités de biscuits chauds
Warm cookie est un malware de porte dérobée doté de diverses capacités conçues pour infiltrer, persister et recueillir des renseignements sur les systèmes des victimes.

Dans la première étape de son fonctionnement, il collecte des informations clés sur l’hôte infecté, y compris le numéro de série du volume, le domaine DNS, le nom de l’ordinateur et le nom d’utilisateur, puis crypte et envoie les données au C2 via le paramètre de cookie HTTP.

Les principales capacités de Warm cookie sont:

  • Récupérer des informations sur les victimes telles que l’adresse IP et les détails du processeur
  • Capturez des captures d’écran à l’aide des outils natifs de Windows
  • Énumérer les programmes installés via la clé de registre
  • Exécutez des commandes arbitraires en utilisant ‘ cmd.exe ‘ et envoyer la sortie au C2
  • Déposer des fichiers sur des répertoires/chemins spécifiés
  • Lire le contenu des fichiers spécifiés et envoyer le contenu à C2
Capture d’écran prise par cookie chaud

Toutes les commandes reçues sont traitées via un contrôle d’intégrité à l’aide de sommes de contrôle CRC32 pour s’assurer qu’elles n’ont pas été altérées.

De plus, le logiciel malveillant ne s’exécutera pas si le nombre de processeurs CPU et les valeurs de mémoire physique/virtuelle sont inférieurs à certains seuils pour échapper aux environnements d’analyse.

Les analystes d’Elastic commentent que bien que Warmcookie soit une nouvelle porte dérobée avec de nombreuses possibilités d’amélioration, il est déjà tout à fait capable d’infliger des dommages importants à ses cibles, en particulier compte tenu de sa capacité à introduire des charges utiles supplémentaires.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *