Puerta trasera WARMCOOKIE

Un malware de puerta trasera, como WARMCOOK, es un software amenazante creado para explotar las vulnerabilidades de la computadora, permitiendo el acceso y control no autorizados. Estos programas tienen como objetivo establecer un punto de entrada oculto que permita a los atacantes llevar a cabo diversas actividades dañinas, incluida la instalación de malware adicional. De hecho, el objetivo principal de WAMCOOKIE es facilitar nuevas infecciones mediante la descarga e instalación de amenazas de malware de siguiente etapa en los sistemas comprometidos.

Esta variante de malware, conocida como WARMCOOKIE, se identificó ya en la primavera de 2024, con versiones potencialmente incluso anteriores en circulación. Los investigadores advierten que WARMCOOKIE se distribuye activamente a través de campañas de spam de correo electrónico dirigidas, donde se engaña a usuarios desprevenidos para que abran archivos adjuntos maliciosos o hagan clic en enlaces fraudulentos.

Los ciberdelincuentes engañan a las víctimas con correos electrónicos de phishing

WARMCOOKIE se distribuyó a través de campañas de correo electrónico no deseado específicas que utilizaban temas relacionados con el trabajo para atraer a los destinatarios. Estos correos electrónicos se hacían pasar por empresas de contratación legítimas, se dirigían a las víctimas por sus nombres reales y proporcionaban detalles como su puesto de trabajo actual, haciéndolos parecer auténticos.

Se instó a los destinatarios a hacer clic en un enlace del correo electrónico, creyendo que los llevaría a un sistema interno para revisar una oferta de trabajo. Sin embargo, este enlace los redirigió a través de una serie de sitios web comprometidos, a menudo alojados en dominios de buena reputación, lo que finalmente los llevó a un sitio web relacionado con el fraude.

En la página de inicio, que parecía ser parte del proceso de reclutamiento, a las víctimas se les presentaba información personalizada para mejorar la credibilidad. Se les pidió que descargaran un documento que detallaba la oferta de trabajo y se requería una prueba CAPTCHA antes de continuar.

Una vez que se completó el CAPTCHA, las víctimas, sin saberlo, descargaron un archivo JavaScript ofuscado. Este archivo ejecutó un script de PowerShell diseñado para infectar sistemas con Warmcookie, estableciendo el acceso de puerta trasera e iniciando más actividades maliciosas.

La puerta trasera WARMCOOKIE podría exponer a las víctimas a más amenazas de malware

WARMCOOKIE, a pesar de sus capacidades relativamente limitadas, desempeña un papel crucial como malware de puerta trasera al proporcionar un punto de entrada inicial a las redes específicas. Como muchas puertas traseras, WARMCOOKIE está diseñada con funciones antianálisis para evadir la detección, como mecanismos antidepuración y la capacidad de detectar entornos sandbox. Además, garantiza la persistencia programándose para ejecutarse cada diez minutos, lo que le permite mantener el control sobre el sistema comprometido.

Una vez infiltrado con éxito, WARMCOOKIE inicia sus operaciones en dos etapas. Inicialmente, recopila información esencial de la máquina infectada, incluido el número de serie del volumen, el dominio DNS, el nombre del dispositivo y el nombre de usuario. Estos datos luego se transmiten al servidor de comando y control (C&C) de los atacantes, que está codificado en el malware.

En su segunda etapa, WARMCOOKIE continúa recopilando información, enfocándose en extraer detalles de la CPU, la dirección IP de la víctima y una lista completa del software instalado, incluidos nombres, versiones y fechas de instalación.

WARMCOOKIE posee la capacidad de ejecutar varios comandos en sistemas infectados, como leer archivos, realizar capturas de pantalla y descargar archivos adicionales en dispositivos comprometidos. Su función principal consiste en descargar e instalar malware adicional, perpetuando así nuevas infecciones.

Si bien en teoría las puertas traseras tienen el potencial de introducir cualquier tipo de malware en los sistemas, normalmente operan dentro de ciertas limitaciones. En el caso de WARMCOOKIE, esto podría dar lugar a la instalación de virus troyanos o software malicioso similar, ampliando el alcance de la infección y planteando mayores amenazas a los sistemas afectados.