WARMCOOKIE バックドア

WARMCOOK などのバックドア マルウェアは、コンピュータの脆弱性を悪用して不正アクセスや制御を可能にするために作成された脅威的なソフトウェアです。これらのプログラムは、隠れたエントリ ポイントを確立して、攻撃者が追加のマルウェアのインストールなど、さまざまな有害なアクティビティを実行できるようにすることを目的としています。実際、WAMCOOKIE の主な目的は、侵害されたシステムに次の段階のマルウェアの脅威をダウンロードしてインストールすることにより、さらなる感染を促進することです。

WARMCOOKIE として知られるこのマルウェアの亜種は、2024 年春にはすでに特定されており、さらに古いバージョンが出回っている可能性もあります。研究者は、WARMCOOKIE は標的型メール スパム キャンペーンを通じて積極的に配布されており、何も知らないユーザーが騙されて悪意のある添付ファイルを開いたり、不正なリンクをクリックしたりしていると警告しています。

サイバー犯罪者はフィッシングメールで被害者を騙す

WARMCOOKIE は、仕事関連のテーマを使って受信者を誘惑する、標的型スパムメールキャンペーンを通じて配布されました。これらのメールは、正当な人材紹介会社を装い、被害者の実名で呼びかけ、現在の職位などの詳細を記載して、本物であるように見せかけていました。

受信者は、メール内のリンクをクリックするよう誘導され、求人情報を確認するための社内システムにつながると信じていました。しかし、このリンクは、多くの場合、評判の良いドメインでホストされている一連の侵害された Web サイトを経由してリダイレクトされ、最終的には詐欺関連の Web サイトにつながっていました。

採用プロセスの一部と思われるランディングページでは、信頼性を高めるために被害者に個人情報が提示された。被害者は求人の詳細を記載した文書をダウンロードするよう促され、先に進む前に CAPTCHA テストを受ける必要があった。

CAPTCHA が完了すると、被害者は知らないうちに難読化された JavaScript ファイルをダウンロードします。このファイルは、システムを Warmcookie で感染させ、バックドア アクセスを確立してさらに悪意のあるアクティビティを開始するように設計された PowerShell スクリプトを実行します。

WARMCOOKIE バックドアにより、被害者はさらなるマルウェアの脅威にさらされる可能性がある

WARMCOOKIE は、比較的機能が限られているにもかかわらず、標的のネットワークへの最初のエントリ ポイントを提供することで、バックドア マルウェアとして重要な役割を果たします。多くのバックドアと同様に、WARMCOOKIE は、アンチデバッグ メカニズムやサンドボックス環境を検出する機能など、検出を回避するためのアンチ分析機能を備えています。さらに、10 分ごとに実行されるようにスケジュールを設定することで永続性を確保し、侵害されたシステムに対する制御を維持します。

侵入に成功すると、WARMCOOKIE は 2 段階で動作を開始します。まず、ボリューム シリアル番号、DNS ドメイン、デバイス名、ユーザー名などの重要な情報を感染マシンから収集します。次に、このデータはマルウェアにハードコードされている攻撃者のコマンド アンド コントロール (C&C) サーバーに送信されます。

第 2 段階では、WARMCOOKIE は CPU の詳細、被害者の IP アドレス、インストールされているソフトウェアの包括的なリスト (名前、バージョン、インストール日を含む) の抽出に重点を置いて、引き続き情報を収集します。

WARMCOOKIE は、感染したシステム上で、ファイルの読み取り、スクリーンショットのキャプチャ、感染したデバイスへの追加ファイルのダウンロードなど、さまざまなコマンドを実行する機能を備えています。その主な機能は、追加のマルウェアをダウンロードしてインストールし、それによってさらに感染を拡大することです。

バックドアは理論上はあらゆる種類のマルウェアをシステムに侵入させる可能性がありますが、通常は一定の制約内で動作します。WARMCOOKIE の場合、トロイの木馬ウイルスや類似の悪意のあるソフトウェアのインストールにつながり、感染範囲が拡大して、影響を受けるシステムにさらに大きな脅威をもたらす可能性があります。