Campagne di reclutamento REF6127, attenzione alla nuova backdoor Windows Warmcookie

Negli ultimi giorni, i ricercatori di sicurezza informatica Elastic Security Labs hanno identificato un nuovo e pericoloso malware noto come Warmcookie, una backdoor progettata per attaccare i sistemi Windows. Questo malware si sta diffondendo in maniera subdola attraverso false offerte di lavoro appartenenti a campagne di reclutamento phishing classificate REF6127 dai ricercatori, creando allarme tra aziende e candidati in cerca di opportunità professionali.

Metodo di diffusione

La tecnica di diffusione utilizzata dai cyber criminali dietro Warmcookie è particolarmente insidiosa.

Le vittime ricevono e-mail apparentemente legittime che offrono opportunità di lavoro allettanti. Queste e-mail contengono link che promettono ulteriori dettagli sull’offerta di lavoro.

Fonte Elastic Security Labs

Una volta che le vittime cliccano sul link, raggiungono una pagina di landing che propone, risolvendo un CAPTCHA, di scaricare un documento in realtà un file JavaScript offuscato che esegue PowerShell per caricare Warmcookie.

Funzionamento del malware

Warmcookie è progettato per aprire una backdoor nei sistemi infetti, consentendo agli attaccanti di ottenere accesso remoto non autorizzato. Questo accesso permette di:

– Rubare informazioni sensibili e dati personali.

– Eseguire codice arbitrario nstallare.

– Controllare il sistema infetto per attività dannose.

– Esfiltrare dati aziendali riservati.

Il malware utilizza tecniche di evasione avanzate per evitare il rilevamento da parte dei software antivirus e degli strumenti di sicurezza e una volta installato, Warmcookie instaura una comunicazione http con il proprio server C2.

Implicazioni e misure di protezione

Le implicazioni di sicurezza di Warmcookie sono serie. Le aziende rischiano di subire violazioni dei dati, perdite finanziarie e danni alla reputazione. Per i singoli individui, la compromissione del proprio sistema può portare al furto di identità, perdite economiche e altre conseguenze personali.

Per proteggersi da Warmcookie e da altre minacce simili, è essenziale adottare alcune misure di sicurezza fondamentali:

1. Verificare sempre la legittimità delle e-mail ricevute.

2. Mantenere aggiornati il sistema operativo e i software di sicurezza.

3. Effettuare regolarmente backup dei dati importanti.

4. Sensibilizzare i dipendenti sui rischi legati alle e-mail di phishing e sulle buone pratiche di sicurezza informatica.

5. Utilizzare strumenti di sicurezza avanzati in grado di rilevare e bloccare minacce sconosciute.

La diffusione del malware Warmcookie tramite false offerte di lavoro rappresenta una nuova sfida nel panorama della sicurezza informatica. La consapevolezza e la vigilanza sono pertanto fondamentali per proteggersi. Le aziende devono adottare un approccio proattivo alla sicurezza, investendo in tecnologie avanzate e nella formazione continua del personale per mantenere un ambiente sicuro e resiliente.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.