更新当初の記事では、これは斬新なバックドアであるとしていましたが、以前eSentireによって発見されていました。記事を更新しました。
Warmcookie」と名付けられたWindowsマルウェアは、偽の求人フィッシング・キャンペーンを通じて配布され、企業ネットワークに侵入する。
このキャンペーンを発見したElastic Security Labsによると、Warmcookieは広範なマシンフィンガープリント、スクリーンショットのキャプチャ、追加のペイロードの展開が可能だという。
このキャンペーンは現在進行中であり、脅威者は悪意のある活動をサポートするために毎週新しいドメインを作成し、侵害されたインフラを使用してフィッシングメールを送信している。
このマルウェアは、2023年6月にeSentireによって発見されたことがあり、未払い請求書に関する通知を装ったフィッシング攻撃で配布されることが確認されています。
偽の求人情報プッシュ型マルウェア
このフィッシング・キャンペーンは、注目を集める件名の電子メールで送信される偽の求人や募集を利用しています。このフィッシング・キャンペーンは、個人名や現在の雇用主の名前を使い、個人を特定できるような表現で個人をターゲットにします。
このメールには、求人情報を閲覧できる社内採用プラットフォームを装ったリンクが含まれていますが、ユーザーを正規のプラットフォームを模したランディングページにリダイレクトさせます。
これらの偽ページは、正当性を増すために、被害者が「Update_23_04_2024_5689382」に似た名前の高度に難読化されたJavaScriptファイルをダウンロードする前に、CAPTCHAを解くよう促します。
このJSスクリプトが実行されると、Background Intelligent Transfer Service(BITS)を使用して、指定されたURLからWarmcookie DLLファイルをダウンロードし、rundll32.exeを介して実行するPowerShellスクリプトが実行されます。
WarmcookieのペイロードはC:¥ProgramData¥WarmcookieRtlUpd¥WarmcookieRtlUpd.dllにコピーされ、初回実行時に10分ごとに実行される「RtlUpd」という名前のスケジュールタスクを作成します。
最終的なセットアップ段階では、Warmcookieはコマンド&コントロール(C2)サーバーとの通信を確立し、被害者のマシンのフィンガープリントを開始します。
Warmcookieの機能
Warmcookieは、被害者のシステムに侵入し、持続して情報を収集するために設計された、さまざまな機能を備えたバックドア型マルウェアです。
動作の最初の段階で、ボリュームのシリアル番号、DNSドメイン、コンピュータ名、ユーザー名など、感染したホストに関する重要な情報を収集し、データを暗号化してHTTP Cookieパラメータを通じてC2に送信します。
Warmcookieの主な機能は以下のとおり:
- IPアドレスやCPUの詳細などの被害者情報の取得
- Windowsネイティブ・ツールを使用したスクリーンショットのキャプチャ
- レジストリ・キーを介してインストールされているプログラムを列挙する。
- cmd.exe」を使って任意のコマンドを実行し、その出力をC2に送信する。
- 指定したディレクトリ/パスにファイルをドロップ
- 指定したファイルの内容を読み取り、C2へ送信
受信したコマンドはすべて、CRC32チェックサムを使用した完全性チェックによって処理され、改ざんされていないことが確認される。
また、解析環境を回避するため、CPUプロセッサの数や物理/仮想メモリの値が特定のしきい値以下であれば、マルウェアは実行されない。
Elastic社のアナリストは、Warmcookieには改善の余地が十分にあるものの、特に追加ペイロードを導入する能力を考えると、すでにターゲットに大きなダメージを与えることが十分に可能であるとコメントしています。
Update 6/12/24: 記事を更新し、これは新しいバックドアではなく、2023年にeSentireによって発見されたものであることを訂正しました。オリジナルの記事はこちら。
Comments