WARMCOOKIE est l’une des dernières trouvailles des cybercriminels pour nuire aux individus et organisations. Elastic Security Labs, expert en cybersécurité, il s’agit d’une porte dérobée Windows qu’envoient les criminels sous formes de liens sur le thème de l’emploi (recherche d’emploi). Alors qu’en réalité, ces liens sont des leurres pour appâter les moins vigilants.
Ces messages invitent les destinataires à cliquer sur un lien pour afficher les détails des opportunités d’emploi. Une fois le lien cliqué, les utilisateurs sont dirigés vers une page qui leur demande de résoudre un CAPTCHA pour télécharger un document .
En réalité, ce qui est téléchargé est un fichier JavaScript obscurci (« Update_23_04_2024_5689382.js »), qui démarre une série d’opérations pour installer WARMCOOKIE sur le système.
Caractéristiques de WARMCOOKIE
WARMCOOKIE appartient à la famille des malwares. Selon le chercheur Daniel Stepanic, il sert d’outil de porte dérobée initial. Une fois en place, elle va explorer les réseaux des victimes et délivrer d’autres charges utiles malveillantes.
Cette porte dérobée est conçue pour acquérir des informations détaillées sur les systèmes infectés. Empreintes digitales, captures d’écran et la suppression d’autres programmes malveillants sont ses cibles.
De plus, il utilise le service de transfert intelligent en arrière-plan de Windows (BITS) pour télécharger la charge utile, ce qui rend sa détection difficile pour les protections de sécurité traditionnelles.
L’une des caractéristiques distinctives de WARMCOOKIE est sa capacité de persistance . La porte dérobée, une DLL Windows, suit un processus en deux étapes :
- Elle établit la persistance via une tâche planifiée
- Ensuite, elle active sa fonctionnalité principale après avoir exécuté des contrôles anti-scan pour échapper à la détection.
Cette approche sophistiquée fait de WARMCOOKIE une menace importante pour les réseaux d’entreprise.
Solutions d’atténuation des risques
Des découvertes récentes soulignent l’évolution continue des techniques de phishing et la nécessité de mesures de sécurité avancées. Les cybercriminels exploitent habilement la confiance que les utilisateurs accordent à des interfaces familières pour diffuser des logiciels malveillants .
Il est donc essentiel que les particuliers et les entreprises restent vigilants. De plus, ils doivent mettre régulièrement à jour leurs systèmes de sécurité et former leur personnel aux dangers du phishing Seule une approche proactive en matière de cybersécurité permettra d’atténuer les risques associés à ces menaces en constante évolution.
Avec CyberSecurity360
