Atores de Ameaça Introduzem Novos Recursos ao Malware WARMCOOKIE
Pesquisadores da Elastic Security Labs identificaram melhorias significativas no malware WARMCOOKIE, que evoluiu de uma ferramenta básica de reconhecimento para uma plataforma sofisticada de entrega de payloads. As novas variantes introduzem quatro manipuladores de comando que ampliam a flexibilidade operacional dos atacantes em sistemas comprometidos, incluindo execução de arquivos PE, DLL e scripts PowerShell. Essa abordagem utiliza processos legítimos do Windows, como rundll32.exe, dificultando a detecção. Além disso, um sistema inovador de “string bank” foi implementado para evitar sistemas de detecção comportamental, selecionando dinamicamente nomes de empresas reais para caminhos de pastas e tarefas agendadas. A análise da infraestrutura revela padrões de persistência preocupantes, com os operadores utilizando um certificado SSL padrão em múltiplos servidores de comando e controle, mesmo após sua expiração. Apesar de esforços de desmantelamento, como a Operação Endgame da Europol, o WARMCOOKIE continua a ser distribuído ativamente por meio de campanhas de malvertising e spam, evidenciando a resiliência dos operadores.