بدافزار جدید WarmCookie کاربران را با پیوندهای مخرب هدف قرار می دهد

خانواده جدیدی از ب،زارها به نام WarmCookie که با نام BadSpace نیز شناخته می شود، از آوریل 2024 به طور فعال از طریق کمپین های هر،مه و تبلیغات م،ب توزیع شده است.

بر اساس یک پست وبلاگ سیسکو تالو که در 23 اکتبر منتشر شد، این ب،زار دسترسی مداوم به شبکه های در معرض خطر را تسهیل می کند و به ،وان یک بار اولیه مشاهده شده است که اغلب منجر به استقرار ب،زارهای اضافی مانند CSharp-Streamer-RAT و Cobalt Strike می شود.

WarmCookie: ناقلان عفونت و عملکرد آنها

کمپین های WarmCookie از موضوعات فریبنده مختلفی مانند پیشنهادهای شغلی یا فاکتورها استفاده می کنند تا قرب،ان را به کلیک روی پیوندهای م،ب ترغیب کنند. این کمپین ها اغلب WarmCookie را از طریق پیوست های ایمیل یا لینک های تعبیه شده ارائه می کنند که فرآیند عفونت را آغاز می کنند.

این ب،زار خود عملکردهای گسترده ای از جمله اجرای دستورات، گرفتن اسکرین شات و انتشار محموله ارائه می دهد که آن را به ابزاری ارزشمند برای حفظ کنترل طول، مدت بر سیستم های در معرض خطر تبدیل می کند.

پیوندهایی به TA866 و Resident Backdoor

این تحلیل همچنین WarmCookie را به یک گروه تهدید به نام TA866 مرتبط می کند که از سال 2023 فعال بوده است. WarmCookie شباهت هایی با خانواده ب،زار دیگری به نام Resident Backdoor دارد که قبلاً در کمپین های TA866 مستقر شده بود.

درباره این عامل تهدید بیشتر بخو،د: TA866 دوباره در کمپین هدفمند OneDrive ظاهر می شود

محققان به همپوش، هایی در عملکردهای اساسی و قراردادهای کدگذاری اشاره ،د، که نشان می دهد هر دو خانواده ب،زار احتمالاً توسط یک موجودیت ایجاد شده اند.

سیسکو تالوس توضیح می دهد: «اگرچه تداخل قابل توجهی در کد پیاده سازی و عملکرد در درب پشتی Resident و WarmCookie وجود دارد، اما WarmCookie عملکرد قوی تری و پشتیب، از دستورات نسبت به Resident Backdoor دارد.

علاوه بر این، در حالی که WarmCookie معمولاً به ،وان محموله دسترسی اولیه در فعالیت هک مورد تجزیه و تحلیل ما مستقر می شد، درب پشتی Resident پس از چندین مؤلفه دیگر مانند WasabiSeed، Screens،tter و AHK Bot پس از هک مستقر شد.

تکامل ب،زار WarmCookie

زنجیره آلودگی WarmCookie معمولاً با دانلود کننده های م،ب جاوا اسکریپت شروع می شود که از طریق هر،مه یا تبلیغات م،ب ارائه می شوند. پس از اجرا، این اسکریپت ها بار WarmCookie را بازیابی می کنند و به مهاجمان اجازه می دهند تا دسترسی دائمی را در محیط در معرض خطر حفظ کنند.

آ،ین نمونه های مشاهده شده توسط Cisco Talos نشان می دهد که WarmCookie با به روزرس، هایی در مک،سم پایداری، ساختار فرمان و قابلیت های شناسایی جعبه شنود در حال تکامل است.

این شرکت توضیح داد: "چندین تغییر در دستورات C2 ایجاد شده توسط ب،زار در آ،ین نمونه های WarmCookie انجام شده است."

محققان انتظار دارند که WarmCookie همچنان به تکامل خود ادامه دهد زیرا عوامل تهدید عملکرد آن را بهبود می بخشند. ارتباط آن با TA866 و شباهت های با درپشتی Resident تلاش مداوم برای ساخت و نگهداری ابزارهای پیچیده برای جاسوسی و بهره برداری سایبری طول، مدت را برجسته می کند.