Nieuwe phishing-campagne maakt gebruik van WARMCOOKIE-achterdeur gericht op werkzoekenden

Cybersecurity-onderzoekers hebben details onthuld van een voortdurende phishing-campagne die gebruik maakt van lokmiddelen met een wervings- en functiethema om een ​​op Windows gebaseerde achterdeur te creëren met de naam WARMCOOKIE.

“WARMCOOKIE lijkt een eerste achterdeurtool te zijn die wordt gebruikt om slachtoffernetwerken te verkennen en extra payloads in te zetten”, zei Elastic Security Labs-onderzoeker Daniel Stepanic in een nieuwe analyse. “Elk voorbeeld is samengesteld met een hardgecodeerd (command-and-control) IP-adres en RC4-sleutel.”

De achterdeur biedt mogelijkheden om vingerafdrukken te nemen van geïnfecteerde machines, schermafbeeldingen te maken en meer kwaadaardige programma's te verwijderen. Het bedrijf volgt de activiteit onder de naam REF6127.

De aanvalsketens die sinds eind april zijn waargenomen, omvatten het gebruik van e-mailberichten die zogenaamd afkomstig zijn van wervingsbureaus als Hays, Michael Page en PageGroup, waarin ontvangers worden aangespoord om op een ingesloten link te klikken om details over een vacature te bekijken.

Gebruikers die uiteindelijk op de link klikken, worden vervolgens gevraagd een document te downloaden door een CAPTCHA-uitdaging op te lossen, waarna een JavaScript-bestand (“Update_23_04_2024_5689382.js”) wordt verwijderd.

“Dit versluierde script voert PowerShell uit en start daarmee de eerste taak om WARMCOOKIE te laden”, aldus Elastic. “Het PowerShell-script maakt misbruik van de Background Intelligent Transfer Service (BITS) om WARMCOOKIE te downloaden.”

Een cruciaal onderdeel van de campagne is het gebruik van gecompromitteerde infrastructuur om de initiële phishing-URL te hosten, die vervolgens wordt gebruikt om slachtoffers door te sturen naar de juiste bestemmingspagina.

WARMCOOKIE, een Windows DLL, volgt een proces in twee stappen waarmee persistentie kan worden vastgesteld met behulp van een geplande taak en het starten van de kernfunctionaliteit, maar niet voordat een reeks anti-analysecontroles is uitgevoerd om detectie te omzeilen.

De achterdeur is ontworpen om informatie over de geïnfecteerde host vast te leggen op een manier die vergelijkbaar is met een artefact dat werd gebruikt in verband met een eerdere campagne met de codenaam Resident en die zich richtte op productie-, commerciële en gezondheidszorgorganisaties.

WARMKOEKJE Achterdeur

Het ondersteunt ook opdrachten om bestanden te lezen en naar bestanden te schrijven, opdrachten uit te voeren met cmd.exe, de lijst met geïnstalleerde applicaties op te halen en schermafbeeldingen te maken.

“WARMCOOKIE is een nieuw ontdekte achterdeur die aan populariteit wint en wordt gebruikt in campagnes die zich richten op gebruikers over de hele wereld”, aldus Elastic.

De onthulling komt op het moment dat Trustwave SpiderLabs een geavanceerde phishing-campagne heeft uitgewerkt, waarbij gebruik wordt gemaakt van factuurgerelateerde lokvogels en gebruik wordt gemaakt van de Windows-zoekfunctionaliteit die is ingebed in HTML-code om malware te implementeren.

“De geboden functionaliteit is relatief eenvoudig, waardoor bedreigingsgroepen die een lichtgewicht achterdeur nodig hebben, slachtoffers kunnen monitoren en verdere schadelijke ladingen zoals ransomware kunnen inzetten.”

De e-mailberichten bevatten een ZIP-archief met daarin een HTML-bestand, dat gebruikmaakt van de oude Windows “search:” URI-protocolhandler om een ​​snelkoppelingsbestand (LNK) weer te geven dat op een externe server in Windows Verkenner wordt gehost, waardoor de indruk wordt gewekt dat het een lokaal zoekresultaat is. .

“Dit LNK-bestand verwijst naar een batchscript (BAT) dat op dezelfde server wordt gehost en dat, als de gebruiker erop klikt, mogelijk extra kwaadaardige bewerkingen kan veroorzaken”, aldus Trustwave, eraan toevoegend dat het het batchscript niet kon ophalen omdat de server niet reageerde.

Het is vermeldenswaard dat het misbruik van search-ms: en search: als malwaredistributievector in juli 2023 door Trellix werd gedocumenteerd.

“Hoewel deze aanval geen gebruik maakt van de geautomatiseerde installatie van malware, moeten gebruikers wel verschillende prompts en klikken gebruiken”, aldus het bedrijf. “Deze techniek verbergt echter op een slimme manier de ware bedoelingen van de aanvaller, door gebruik te maken van het vertrouwen dat gebruikers stellen in vertrouwde interfaces en veel voorkomende acties zoals het openen van e-mailbijlagen.”

Thijs Van der Does