Observatorio de Amenazas

Malware de Windows Warmcookie Ataca Redes Corporativas

Escrito por Javiera González | 13-06-24

Un nuevo malware de Windows llamado "Warmcookie" está siendo utilizado en campañas de phishing para atacar redes corporativas. Warmcookie es capaz de robar información, tomar capturas de pantalla y ejecutar comandos en sistemas infectados. La amenaza se distribuye a través de correos electrónicos de phishing que contienen ofertas de trabajo falsas.

Principales características de Warmcookie

  • Tipo de malware: Puerta trasera
  • Objetivo: Redes corporativas
  • Vector de ataque: Correos electrónicos de phishing con ofertas de trabajo falsas
  • Capacidades:
    • Robar información de la víctima (dirección IP, detalles de la CPU)
    • Tomar capturas de pantalla
    • Enumerar programas instalados
    • Ejecutar comandos
    • Soltar archivos
    • Robar contenido de archivos
    • Verificar integridad de comandos
    • Evadir entornos de análisis

Descripción del ataque

La campaña de phishing que propaga Warmcookie utiliza correos electrónicos con temas relacionados con ofertas de trabajo. Estos correos electrónicos están diseñados para parecer legítimos y a menudo contienen información personalizada, como el nombre del destinatario y su empleador actual.

Al hacer clic en el enlace del correo electrónico, la víctima es redirigida a una página web falsa que imita una plataforma de reclutamiento legítima. En esta página, se solicita a la víctima que resuelva un CAPTCHA antes de descargar un archivo JavaScript ofuscado. Cuando se ejecuta el archivo JavaScript, se descarga e instala el malware Warmcookie en el sistema de la víctima.

Impacto de Warmcookie

Una vez instalado, Warmcookie puede causar un daño significativo a las organizaciones infectadas. El malware puede robar información confidencial, como datos financieros, propiedad intelectual y registros de empleados. Además, Warmcookie puede usarse para tomar el control de sistemas informáticos, lo que puede interrumpir las operaciones comerciales y dañar la reputación de la organización.

 

Recomendaciones para mitigar el riesgo

Para protegerse contra Warmcookie y otras amenazas similares, se recomienda que las organizaciones y los usuarios individuales implementen las siguientes medidas de seguridad:

    • No abrir correos electrónicos ni hacer clic en enlaces de fuentes desconocidas.
    • Tener cuidado con las ofertas de trabajo que parecen demasiado buenas para ser verdad.
    • Verificar la dirección de correo electrónico del remitente y la URL del enlace antes de hacer clic.
    • Instalar software antivirus y anti-malware de buena reputación.
    • Mantener su sistema operativo y software actualizado.
    • Implementar medidas de seguridad en capas, como firewalls y detección de intrusiones.
    • Realizar copias de seguridad regulares de sus datos.
    • Capacitar a sus empleados sobre los riesgos de seguridad cibernética y las mejores prácticas para protegerse.
    • Mantenerse actualizado sobre las últimas amenazas y vulnerabilidades para tomar medidas preventivas oportunas.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://www.bleepingcomputer.com/news/security/new-warmcookie-windows-backdoor-pushed-via-fake-job-offers/

https://x.com/TheCyberSecHub/status/1800548074466804080

https://www.reddit.com/r/technology/comments/1ddkksi/new_warmcookie_windows_backdoor_pushed_via_fake/