La proliferación de nuevos malware no cesa, y lo preocupante es la celeridad con la que lo hacen en los últimos tiempos. Según una entrada de blog de Cisco Talos publicada el 23 de octubre, este malware facilita el acceso persistente a las redes comprometidas y se ha observado como una carga útil inicial. Lo que a menudo conduce al despliegue de malware adicional como CSharp-Streamer-RAT y Cobal Strike.
¿Cómo actúa el malware WarmCookie?
Las campañas de WarmCookie utilizan una variedad de temas de señuelo, como ofertas de trabajo o facturas, para atraer a las víctimas a hacer clic en enlaces maliciosos. Estas campañas suelen entregar WarmCookie a través de archivos adjuntos de correo electrónico o hipervínculos incrustados que inician el proceso de infección.
Este malware accede a las cookies de sesión de los navegadores, lo cual le permite a un atacante "hijackear" la sesión de un usuario sin necesidad de conocer sus credenciales. Esto significa que el atacante puede hacerse pasar por el usuario en sitios web donde este está autenticado, logrando acceder a información sensible sin tener que descifrar contraseñas. Una vez que obtiene las cookies de sesión, el atacante puede realizar actividades en nombre del usuario, como transferencias bancarias, compras, o acceso a datos privados.
El malware en sí ofrece una amplia funcionalidad, incluida la ejecución de comandos, la captura de pantalla y la implementación de carga útil, lo que lo convierte en una herramienta valiosa para mantener el control a largo plazo de los sistemas comprometidos.
El análisis también vincula a WarmCookie con un grupo de amenazas conocido como TA866, que ha estado activo desde 2023. WarmCookie comparte similitudes con otra familia de malware conocida como Resident backdoor, que se ha implementado anteriormente en campañas TA866.
Los investigadores han observado superposiciones en la funcionalidad principal y las convenciones de codificación, lo que sugiere que ambas familias de malware probablemente fueron desarrolladas por la misma entidad.
"Si bien hay superposiciones significativas en las implementaciones de código y funcionalidad entre Resident backdoor y WarmCookie, WarmCookie contiene una funcionalidad y un soporte de comandos significativamente más robustos en comparación con Resident backdoor", aclara Cisco Talos en su blog.
"Además, mientras que WarmCookie se ha implementado típicamente como una carga útil de acceso inicial en la actividad de intrusión que hemos analizado, Resident Backdoor se implementó después del compromiso luego de la implementación de varios otros componentes como WasabiSeed, Screenshotter y AHK Bot".
Evolución del malware WarmCookie
La cadena de infección de WarmCookie generalmente comienza con descargadores de JavaScript maliciosos entregados a través de malspam o publicidad maliciosa. Una vez ejecutados, estos scripts recuperan la carga útil de WarmCookie, lo que permite a los atacantes mantener el acceso persistente dentro del entorno comprometido.
Las últimas muestras observadas por Cisco Talos muestran que WarmCookie está evolucionando, con actualizaciones en su mecanismo de persistencia, estructura de comandos y capacidades de detección de sandbox.
"También se han realizado varios cambios en los comandos C2 compatibles con el malware en las últimas muestras de WarmCookie analizadas. Se ha eliminado el comando para eliminar la persistencia y el propio malware. Se han agregado nuevos comandos", explicó la firma.
Los investigadores esperan que WarmCookie continúe evolucionando a medida que los actores de amenazas redefinen su funcionalidad. Su conexión con TA866 y las similitudes con Resident backdoor destacan un esfuerzo continuo para construir y mantener herramientas sofisticadas para el espionaje y la explotación cibernéticos a largo plazo.
Para protegerse de WarmCookie, los expertos recomiendan seguir prácticas de seguridad estrictas. Mantener actualizados los navegadores y sistemas de seguridad, evitar hacer clic en enlaces desconocidos, y eliminar cookies periódicamente son algunas de las medidas que pueden mitigar el riesgo. Las empresas, en particular, deberían implementar soluciones de ciberseguridad avanzada y monitorear el tráfico de red en busca de actividades sospechosas.
WarmCookie es un recordatorio de la constante evolución de las amenazas digitales y de la importancia de mantener la seguridad en todas las capas de interacción en línea.