Malware Windows yang belum pernah dilihat sebelumnya bernama Warmcookie didistribusikan melalui operasi phising tawaran pekerjaan palsu untuk menembus jaringan perusahaan.
Menurut para peneliti keamanan, Warmcookie mampu melakukan sidik jari mesin secara ekstensif, menangkap tangkapan layar, dan menyebarkan muatan tambahan.
Operasi ini sedang berlangsung, dan pelaku ancaman membuat domain baru setiap minggunya untuk mendukung operasi jahat mereka, menggunakan infrastruktur yang telah disusupi untuk mengirim email phising.
Baca juga: Era Malware as a Service |
Tawaran Pekerjaan Palsu
Operasi phising menggunakan tawaran pekerjaan dan rekrutmen palsu yang dikirim melalui email dengan subjek yang menarik perhatian. Mereka menargetkan individu dengan sentuhan personalisasi, menggunakan nama mereka dan nama perusahaan tempat mereka bekerja saat ini.
Email tersebut berisi tautan yang mengklaim sebagai platform rekrutmen internal tempat deskripsi pekerjaan dapat dilihat tetapi mengarahkan pengguna ke halaman arahan yang meniru platform yang sah.
Untuk menambah legitimasi, laman palsu tersebut meminta korban untuk menyelesaikan CAPTCHA sebelum mereka mengunduh file JavaScript yang sangat dikaburkan dengan nama yang mirip dengan ‘Update_23_04_2024_5689382’.
Saat dijalankan, skrip JS menjalankan skrip PowerShell yang menggunakan Background Intelligent Transfer Service (BITS) untuk mengunduh file Warmcookie DLL dari URL tertentu dan menjalankannya melalui rundll32.exe.
Payload Warmcookie disalin ke C:\ProgramData\RtlUpd\RtlUpd.dll, dan pada eksekusi pertama, ia membuat tugas terjadwal bernama ‘RtlUpd’ yang berjalan setiap 10 menit.
Pada fase penyiapan terakhir, Warmcookie menjalin komunikasi dengan server perintah dan kontrol (C2) dan mulai mengambil sidik jari mesin korban.
Baca juga: Mengenal Malware as a Service |
Kemampuan Wormcookie
Warmcookie adalah malware backdoor dengan berbagai kemampuan yang dirancang untuk menyusup, bertahan, dan mengumpulkan intelijen dari sistem korban.
Pada tahap pertama operasinya, ia mengumpulkan informasi penting tentang host yang terinfeksi, termasuk nomor seri volume, domain DNS, nama komputer, dan nama pengguna, lalu mengenkripsi dan mengirimkan data ke C2 melalui parameter cookie HTTP.
Kemampuan utama Warmcookie adalah:
- Ambil informasi korban seperti alamat IP dan detail CPU
- Ambil tangkapan layar menggunakan alat asli Windows
- Menghitung program yang diinstal melalui kunci registri
- Jalankan perintah sewenang-wenang menggunakan ‘cmd.exe’ dan kirim output ke C2
- Letakkan file di direktori/jalur tertentu
- Baca konten file tertentu dan kirim konten ke C2
Semua perintah yang diterima diproses melalui pemeriksaan integritas menggunakan checksum CRC32 untuk memastikan perintah tersebut tidak dirusak.
Selain itu, malware tidak akan berjalan jika jumlah prosesor CPU dan nilai memori fisik/virtual berada di bawah ambang batas tertentu untuk menghindari lingkungan analisis.
Meskipun Warmcookie merupakan backdoor baru yang masih memiliki banyak ruang untuk perbaikan, ia sudah sepenuhnya mampu menimbulkan kerusakan signifikan pada targetnya, terutama mengingat kemampuannya untuk memasukkan muatan tambahan.
Sumber berita: