A família de backdoors WARMCOOKIE voltou a evoluir e ampliar suas capacidades, segundo análise do Elastic Security Labs. Aparecido em meados de 2024 com campanhas de phishing temáticas sobre recrutamento, o malware agora opera como um loader modular capaz de executar binários, DLLs e scripts PowerShell sob comando remoto, mantendo persistência e redução de vetores repetidos em discos e registros.
Leia também
Selbetti lança SOC em ampliação de serviços gerenciados
Quadrilha de ransomware ataca clientes da Salesforce
As versões mais recentes introduzem bancos dinâmicos de strings, mutexes em formato GUID duplo e um campo de identificação de campanha que permite aos operadores rotular conjuntos de vítimas, por exemplo como “traffic2”. A rotina de configuração é descrita em tempo de execução a partir dos recursos do binário, extraindo URL de C2, chave RC4 e outras configurações sem deixar assinaturas estáticas fáceis de detectar.
Sem fluxo de execução, o porta dos fundos cria tarefas agendadas com nomes e caminhos que imitam fornecedores legítimos, grava payloads em pastas temporárias e invoca rundll32.exe ou PowerShell.exe para execução, o que facilita a evasão de soluções baseadas apenas em varredura de arquivos. Uma seleção pseudoaleatória de pastas e nomes de tarefa, baseada no tempo de atividade do sistema, dificulta a expansão entre amostras e amplia a persistência.
As organizações devem tratar WARMCOOKIE como uma ameaça de alto risco. Recomenda-se varredura focada em tarefas agendadas atípicas, monitoramento de conexões de saída para domínios e URLs de C2, detecção de execução de rundll32.exe e PowerShell com parâmetros suspeitos, e implantação de EDR com capacidade de inspeção de memória e análise mental para bloquear carregadores que operam em memória.
