Elastic Security Labs identifie un nouveau malware : WARMCOOKIE, les attaquants se faisant passer pour des recruteurs

0
89

Elastic Security Labs a identifié un nouveau malware Windows Backdoor, WARMCOOKIE, déployé par le biais de campagnes d’emailing depuis la fin du mois d’avril. Ce logiciel malveillant est distribué quotidiennement et cible les individus par leur nom et leur employeur, se faisant passer pour une société de recrutement. Les cyberattaquants incitent les victimes à chercher de nouvelles opportunités d’emploi et les poussent à cliquer sur un lien pour consulter une description de poste.

Communiqué – Voici quelques informations notables concernant ce logiciel malveillant :

  • Bien que ce logiciel malveillant ait un nombre limité de capacités, son utilisation à l’échelle mondiale constitue une menace redoutable, d’autant plus qu’il permet d’accéder aux environnements cibles et d’envoyer d’autres types de logiciels malveillants aux victimes.
  • WARMCOOKIE est utilisé pour explorer les réseaux des victimes et déployer des charges utiles supplémentaires par le biais d’une backdoor Windows. Il permet d’identifier les machines et de réaliser des captures d’écran. Chaque échantillon comprend une adresse IP de commande et de contrôle (C2) codée en dur et une clé RC4 pour le chiffrement.
  • Les acteurs de la menace créent en permanence de nouveaux domaines et de nouvelles infrastructures pour soutenir leurs campagnes.
  • L’analyse initiale a montré des similitudes de code entre WARMCOOKIE et un échantillon précédemment signalé par eSentire, nommé resident2.exe, qui semble être une version plus ancienne ou modifiée de WARMCOOKIE.

Vous trouverez une analyse plus détaillée de l’équipe de recherche d’Elastic Search Labs ICI.

Vous trouverez ci-dessous une infographie qui aide à comprendre la nature de la menace :