網(wǎng)絡(luò)安全研究人員披露了正在進行的網(wǎng)絡(luò)釣魚活動的細(xì)節(jié)，該活動利用招聘和工作主題的誘餌來投放名為 WARMCOOKIE 的基于 Windows 的后門。

Elastic Security Labs 研究員 Daniel Stepanic 在一份新分析報告中表示：“WARMCOOKIE 似乎是一種初始后門工具，用于偵查受害者網(wǎng)絡(luò)并部署額外的有效載荷。每個樣本都使用硬編碼的 [命令和控制] IP 地址和 RC4 密鑰進行編譯。”

該后門具有對受感染機器進行指紋識別、截取屏幕截圖和植入更多惡意程序的功能。該公司正在以 REF6127 的名義跟蹤該活動。

自 4 月下旬以來觀察到的攻擊鏈涉及使用聲稱來自 Hays、Michael Page 和 PageGroup 等招聘公司的電子郵件，敦促收件人點擊嵌入的鏈接查看有關(guān)工作機會的詳細(xì)信息。

最終點擊該鏈接的用戶將被提示通過解決 CAPTCHA 挑戰(zhàn)來下載文檔，然后會刪除 JavaScript 文件（“Update_23_04_2024_5689382.js”）。

Elastic 表示：“這個混淆的腳本運行 PowerShell，啟動第一個任務(wù)來加載 WARMCOOKIE。PowerShell 腳本濫用后臺智能傳輸服務(wù) ( BITS ) 來下載 WARMCOOKIE?！?/p>

該活動的一個關(guān)鍵組成部分是利用被攻陷的基礎(chǔ)設(shè)施來托管初始網(wǎng)絡(luò)釣魚 URL，然后將其將受害者重定向到適當(dāng)?shù)牡卿涰撁妗?/p>

WARMCOOKIE 是一個 Windows DLL，遵循兩步過程，允許使用計劃任務(wù)建立持久性并啟動核心功能，但在此之前會執(zhí)行一系列反分析檢查以避開檢測。

該后門旨在以類似于之前針對制造業(yè)、商業(yè)和醫(yī)療保健組織的代號為Resident 的活動中使用的工具的方式捕獲有關(guān)受感染主機的信息。

它還支持讀取和寫入文件的命令、使用 cmd.exe 執(zhí)行命令、獲取已安裝應(yīng)用程序的列表以及抓取屏幕截圖。

Elastic 表示：“WARMCOOKIE 是一種新發(fā)現(xiàn)的后門，它越來越受歡迎，并被用于針對全球用戶的攻擊活動中。”

此次披露之際，Trustwave SpiderLabs 詳細(xì)介紹了一項復(fù)雜的網(wǎng)絡(luò)釣魚活動，該活動采用與發(fā)票相關(guān)的誘餌，并利用 HTML 代碼中嵌入的 Windows 搜索功能來部署惡意軟件。

“所提供的功能相對簡單，允許需要輕量級后門的威脅組織監(jiān)視受害者并部署勒索軟件等進一步破壞性的有效載荷?！?/p>

電子郵件消息帶有一個包含 HTML 文件的 ZIP 存檔，該文件使用舊版Windows“搜索：”URI 協(xié)議處理程序在 Windows 資源管理器中顯示托管在遠(yuǎn)程服務(wù)器上的快捷方式 (LNK) 文件，給人一種本地搜索結(jié)果的印象。

Trustwave表示：“該 LNK 文件指向托管在同一服務(wù)器上的批處理腳本 (BAT)，用戶點擊后可能會觸發(fā)其他惡意操作”，并補充說由于服務(wù)器沒有響應(yīng)，它無法檢索批處理腳本。

值得注意的是， Trellix 于 2023 年 7 月記錄了濫用 search-ms: 和 search: 作為惡意軟件分發(fā)載體的情況。

該公司表示：“雖然這次攻擊沒有利用惡意軟件的自動安裝，但它確實需要用戶輸入各種提示和點擊。然而，這種技術(shù)巧妙地掩蓋了攻擊者的真實意圖，利用了用戶對熟悉界面和打開電子郵件附件等常見操作的信任。”