.png)
há 2 dias
2
ANUNCIE AQUI
A família de backdoors WARMCOOKIE voltou a evoluir e ampliar suas capacidades, segundo análise da Elastic Security Labs. Aparecido em meados de 2024 com campanhas de phishing temáticas sobre recrutamento, o malware agora opera como um loader modular capaz de executar binários, DLLs e scripts PowerShell sob comando remoto, mantendo persistência e reduzindo artefatos repetidos em discos e registros.
Leia também
Selbetti lança SOC em ampliação de serviços gerenciados
Quadrilha de ransomware ataca clientes da Salesforce
As versões mais recentes introduzem bancos dinâmicos de strings, mutexes em formato GUID duplo e um campo de identificação de campanha que permite aos operadores rotular conjuntos de vítimas, por exemplo como “traffic2”. A rotina de configuração é descriptografada em tempo de execução a partir dos recursos do binário, extraindo URL de C2, chave RC4 e outros parâmetros sem deixar assinaturas estáticas fáceis de detectar.
No fluxo de execução, o backdoor cria tarefas agendadas com nomes e caminhos que imitam fornecedores legítimos, grava payloads em pastas temporárias e invoca rundll32.exe ou PowerShell.exe para execução, o que facilita a evasão de soluções baseadas apenas em varredura de arquivos. A seleção pseudoaleatória de pastas e nomes de tarefa, baseada no tempo de uptime do sistema, dificulta a correlação entre amostras e amplia a persistência.
Organizações devem tratar WARMCOOKIE como uma ameaça de alto risco. Recomenda-se varredura focada em tarefas agendadas atípicas, monitoramento de conexões de saída para domínios e URLs de C2, detecção de execução de rundll32.exe e PowerShell com parâmetros suspeitos, e implantação de EDR com capacidade de inspeção de memória e análise comportamental para bloquear loaders que operam inteiramente em memória.
Portuguese (BR) ·