Elastic Security Labs hat eine neue Windows-Backdoor-Malware – Warmcookie – identifiziert. Sie wird seit Ende April täglich über E-Mail-Kampagnen verbreitet, gibt sich als Personalvermittlungsunternehmen aus und verleitet die Opfer dazu, auf infizierte Links zu neuen Stellenangeboten zu klicken.
Obwohl die Malware Warmcookie nur über eine begrenzte Anzahl von Funktionen verfügt, stellt ihr aktiver Einsatz auf globaler Ebene eine enorme Bedrohung dar. Warmcookie wird von Cyber-Kriminellen eingesetzt, um die Netzwerke ihrer Opfer auszukundschaften und zusätzliche Schadsoftware über eine Windows-Backdoor zu verteilen. Die Malware kann Fingerabdrücke von infizierten Computern erstellen, Screenshots aufnehmen und enthält eine fest kodierte Command-and-Control-IP-Adresse sowie einen RC4-Schlüssel für die Verschlüsselung.
Für ihre andauernden Kampagnen richten die Bedrohungsakteure laufend neue Domänen und Infrastrukturen ein, um Warmcookie und andere Malware zu verbreiten. Eine erste Analyse der Sicherheitsforscher ergab Code-Ähnlichkeiten zwischen Warmcookie und einer zuvor entdeckten Variante namens resident2.exe, bei der es sich offenbar um eine ältere oder modifizierte Version der aktuellen Warmcookie-Malware handelt.
Obwohl Warmcookie selbst nur über relativ einfache Funktionen verfügt, ermöglicht sie den Angreifern den Zugriff auf kompromittierte Systeme zwecks Verbreitung weiterer gefährlicher Malware. Dies macht Warmcookie zu einer ernstzunehmenden Bedrohung im Cyber-Kriminellen-Ökosystem.
Eine ausführliche Analyse des Forschungsteams von Elastic Search Labs finden Sie hier.
(pd/Elastic Security Lab)