Revisitando WARMCOOKIE
O Elastic Security Labs continua monitorando os desenvolvimentos na base de código WARMCOOKIE, descobrindo novas infraestruturas vinculadas ao backdoor. Desde nossa postagem original, temos observado atualizações contínuas na família de códigos e atividades contínuas em torno do backdoor, incluindo novas infecções e seu uso com carregadores emergentes. Uma descoberta recente da equipe IBM X-Force destacou um novo carregador de Malware como Serviço (MaaS), chamado CASTLEBOT, distribuindo WARMCOOKIE.
Neste artigo, revisaremos os novos recursos adicionados ao WARMCOOKIE desde sua publicação inicial. Em seguida, apresentaremos as informações de configuração extraídas de várias amostras.
Principais conclusões
- O backdoor WARMCOOKIE é desenvolvido e distribuído ativamente
- O ID da campanha, um marcador adicionado recentemente, esclarece a segmentação de serviços e plataformas específicos
- Os operadores WARMCOOKIE parecem receber compilações variantes diferenciadas por seus manipuladores de comando e funcionalidade
- O Elastic Security Labs identificou um certificado padrão que pode ser usado para rastrear novos servidores WARMCOOKIE C2
Recapitulação do WARMCOOKIE
Publicamos nossa primeira pesquisa sobre o WARMCOOKIE no verão de 2024, detalhando sua funcionalidade e como ele foi implantado por meio de campanhas de phishing com tema de recrutamento. Desde então, observamos várias mudanças no desenvolvimento do malware, incluindo a adição de novos manipuladores, um novo campo de ID de campanha, otimização de código e ajustes de evasão.
A importância do WARMCOOKIE foi destacada em maio de 2025, durante a Operação Endgame da Europol, na qual várias famílias de malware de alto perfil, incluindo o WARMCOOKIE, foram descontinuadas. Apesar disso, ainda vemos o backdoor sendo usado ativamente em várias campanhas de malvertising e spam.
Atualizações do WARMCOOKIE
Manipuladores
Durante nossa análise da nova variante do WARMCOOKIE, identificamos quatro novos manipuladores introduzidos no verão de 2024, fornecendo recursos rápidos para iniciar executáveis, DLLs e scripts:
- Execução de arquivo PE
- Execução de DLL
- Execução de script do PowerShell
- Execução de DLL com exportação
Start
As compilações mais recentes do WARMCOOKIE que coletamos contêm a funcionalidade de execução de DLL/EXE, com a funcionalidade de script do PowerShell sendo muito menos prevalente. Esses recursos aproveitam a mesma função passando argumentos diferentes para cada tipo de arquivo. O manipulador cria uma pasta em um diretório temporário, gravando o conteúdo do arquivo (EXE / DLL / PS1) em um arquivo temporário na pasta recém-criada. Em seguida, ele executa o arquivo temporário diretamente ou usa rundll32.exe ou PowerShell.exe. Abaixo está um exemplo de execução de PE do procmon.
Banco de cordas
Outra mudança observada foi a adoção do uso de uma lista de empresas legítimas para os caminhos de pasta e nomes de tarefas agendadas para WARMCOOKIE (chamado de “banco de strings”). Isso é feito para fins de evasão de defesa, permitindo que o malware se desloque para diretórios com aparência mais legítima. Essa abordagem usa um método mais dinâmico (uma lista de empresas a serem usadas como caminhos de pasta, atribuída no tempo de execução do malware) em oposição à codificação fixa do caminho em um local estático, como observamos com variantes anteriores (C:\ProgramData\RtlUpd\RtlUpd.dll).
O malware usa GetTickCount como uma semente para a função srand para selecionar aleatoriamente uma string do banco de strings.
A seguir, mostramos um exemplo de uma tarefa agendada mostrando o nome da tarefa e o local da pasta:
Ao pesquisar alguns desses nomes e descrições, nossa equipe descobriu que esse banco de strings é originário de um site usado para classificar e encontrar empresas de TI/software confiáveis.
Mudanças menores
Em nosso último artigo, WARMCOOKIE passou um parâmetro de linha de comando usando /p para determinar se uma tarefa agendada precisa ser criada; esse parâmetro foi alterado para /u. Esta parece ser uma mudança pequena, mas adicional, para romper com os relatórios anteriores.
Nesta nova variante, o WARMCOOKIE agora incorpora 2 mutexes semelhantes a GUID separados; eles são usados em combinação para controlar melhor a inicialização e a sincronização. Versões anteriores usavam apenas um mutex.
Outra melhoria notável nas versões mais recentes do WARMCOOKE é a otimização do código. A implementação vista abaixo agora está mais limpa, com menos lógica inline, o que torna o programa otimizado para legibilidade, desempenho e manutenção.
Configurações de cluster
Desde nossa publicação inicial em julho de 2024, os exemplos do WARMCOOKIE incluem um campo de ID de campanha. Este campo é usado pelos operadores como uma etiqueta ou marcador que fornece contexto aos operadores em torno da infecção, como o método de distribuição. Abaixo está um exemplo de uma amostra com um ID de campanha de traffic2.
Com base nas configurações extraídas de amostras no último ano, levantamos a hipótese de que a chave RC4 incorporada pode ser usada para distinguir entre operadores que usam WARMCOOKIE. Embora não comprovado, observamos em várias amostras que alguns padrões começaram a surgir com base no agrupamento da chave RC4.
Ao usar a chave RC4, podemos ver sobreposição nos temas da campanha ao longo do tempo, como a criação usando a chave RC4 83ddc084e21a244c, que utiliza palavras-chave como bing, bing2, bing3,e aws para mapeamento de campanha. Uma observação interessante, relacionada a esses artefatos de compilação, é que algumas compilações contêm diferentes manipuladores de comando/funcionalidades. Por exemplo, a compilação usando a chave RC4 83ddc084e21a244c é a única variante que observamos que tem recursos de execução de script do PowerShell, enquanto as compilações mais recentes contêm os manipuladores DLL/EXE.
Outros IDs de campanha parecem usar termos como lod2lod, capo, ou PrivateDLL. Pela primeira vez, vimos o uso de domínios incorporados versus endereços IP numéricos no WARMCOOKIE de uma amostra em julho de 2025.
Visão geral da infraestrutura do WARMCOOKIE
Após extrair a infraestrutura dessas configurações, um certificado SSL se destaca. Nossa hipótese é que o certificado abaixo é possivelmente um certificado padrão usado para o back-end WARMCOOKIE.
Issuer
C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Not Before
2023-11-25T02:46:19Z
Not After
2024-11-24T02:46:19Z
Fingerprint (SHA1)
e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0Detalhes do certificado
Observe que a data “Não após” acima mostra que este certificado expirou. No entanto, a infraestrutura nova (e reutilizada) continua sendo inicializada usando esse certificado expirado. Esta não é uma infraestrutura totalmente nova, mas sim uma reconfiguração de redirecionadores para dar nova vida à infraestrutura existente. Isso pode indicar que os proprietários da campanha não estão preocupados com a descoberta do C2.
Conclusão
O Elastic Security Labs continua observando infecções por WARMCOOKIE e a implantação de nova infraestrutura para esta família. No último ano, o desenvolvedor continuou fazendo atualizações e mudanças, o que sugere que ele permanecerá por algum tempo. Com base em seu uso seletivo, ele continua passando despercebido. Esperamos que, ao compartilhar essas informações, as organizações estejam mais bem equipadas para se proteger dessa ameaça.
Malware e MITRE ATT&CK
A Elastic usa a estrutura MITRE ATT&CK para documentar táticas, técnicas e procedimentos comuns que ameaças persistentes avançadas usam contra redes corporativas.
Táticas
As táticas representam o porquê de uma técnica ou subtécnica. É o objetivo tático do adversário: a razão para executar uma ação.
- Acesso inicial
- Execução
- Defense Evasion
- Descoberta
- Command and Control (Comando e controle)
- Exfiltração
Técnicas
Técnicas representam como um adversário atinge um objetivo tático executando uma ação.
- Phishing
- Execução do usuário: Link malicioso
- Interpretador de comando e script: PowerShell
- Descoberta de informações do sistema
- Tarefa/trabalho agendado
- Captura de tela
- Interpretador de comando e script: Shell de comando do Windows
- Remoção de Indicadores: Realocar Malware
Detectando malware
Prevenção
- Downloads suspeitos do PowerShell
- Criação de tarefa programada por um processo incomum
- Suspicious PowerShell Execution via Windows Scripts (execução suspeita do PowerShell via scripts do Windows)
- RunDLL32 with Unusual Arguments (RunDLL32 com argumentos incomuns)
- Windows.Trojan.Cookie Quente
YARA
O Elastic Security criou as seguintes regras YARA para identificar essa atividade.
Observações
Os seguintes observáveis foram discutidos nesta pesquisa.
| Observável | Tipo | Nome | Referência |
|---|---|---|---|
| 87.120.126.32 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| storsvc-win[.]com | Domínio | Servidor WARMCOOKIE C2 | |
| 85.208.84.220 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 109.120.137.42 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 195.82.147.3 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 93.152.230.29 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 155.94.155.155 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 87.120.93.151 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 170.130.165.112 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 192.36.57.164 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 83.172.136.121 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 45.153.126.129 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 170.130.55.107 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 89.46.232.247 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 89.46.232.52 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 185.195.64.68 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 107.189.18.183 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 192.36.57.50 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 62.60.238.115 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 178.209.52.166 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 185.49.69.102 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 185.49.68.139 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 149.248.7.220 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 194.71.107.41 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 149.248.58.85 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 91.222.173.219 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 151.236.26.198 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 91.222.173.91 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 185.161.251.26 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 194.87.45.138 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| 38.180.91.117 | endereço-ipv4 | Servidor WARMCOOKIE C2 | |
| c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e | SHA-256 | WARMCOOKIE | |
| 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b | SHA-256 | WARMCOOKIE | |
| f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659 | SHA-256 | WARMCOOKIE | |
| 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4 | SHA-256 | WARMCOOKIE | |
| b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6 | SHA-256 | WARMCOOKIE | |
| e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555 | SHA-256 | WARMCOOKIE | |
| 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76 | SHA-256 | WARMCOOKIE |
Referências
Os seguintes itens foram referenciados ao longo da pesquisa acima: