详细内容或原文请订阅后点击阅览
WARMCOOKIE:漏洞 – 漏洞
难道没有办法做实验吗?在你面前的是饼干!
来源:安全实验室新闻频道Elastic Security Labs 的网络安全研究人员发现了正在进行的网络钓鱼活动的详细信息,该活动利用就业主题来传播名为 WARMCOOKIE 的恶意软件。
弹性安全实验室 透露细节“每个 WARMCOOKIE 样本都使用硬编码的 IP 地址和 RC4 密钥进行编译,”Elastic Security Labs 的分析师 Daniel Stepanik 说道。该恶意软件能够扫描受感染的计算机、截取屏幕截图并下载其他恶意程序。
从 4 月下旬至今,专家观察到一次大规模恶意操作,该操作使用代表 Hays、Michael Page 和 PageGroup 等大型招聘公司的电子邮件。研究人员追踪标识符 REF6127 下的攻击者的活动。
攻击首先邀请潜在候选人点击电子邮件中的链接查看合适的职位空缺。转换后,您需要解决验证码才能下载所需的文档。结果,名为“Update_23_04_2024_5689382.js”的 JavaScript 文件被下载到受害者的计算机上。
“这个隐藏脚本运行 PowerShell,它会启动 WARMCOOKIE 的下载,”Elastic 解释道。 PowerShell 脚本使用 Windows 后台智能传输服务 (BITS) 下载恶意软件。
位恶意活动的一个关键要素是使用受损的基础设施来托管初始网络钓鱼 URL,将受害者重定向到所需的页面。
WARMCOOKIE 是一个 Windows DLL,通过计划任务在系统上建立持久性并运行核心功能,需要经过两步过程,首先执行反分析以绕过检测。
WARMCOOKIE 攻击模式
WARMCOOKIE 攻击模式“WARMCOOKIE 是最近发现的一种恶意软件,它越来越受欢迎,并被用于世界各地的各种恶意活动,”Elastic 说。
我们告诉