Un nuovo malware chiamato WarmCookie, noto anche come BadSpace, ha iniziato a diffondersi attraverso campagne di malspam e malvertising da aprile 2024. Secondo quanto riportato da Cisco Talos il 23 ottobre, WarmCookie consente un accesso persistente alle reti compromesse, agendo spesso come il primo step per installare ulteriori malware, tra cui CSharp-Streamer-RAT e Cobalt Strike.
Le campagne che veicolano WarmCookie utilizzano temi come offerte di lavoro o fatture per ingannare le vittime e convincerle a cliccare su link malevoli. Una volta infettato il sistema, WarmCookie è in grado di eseguire comandi, catturare schermate e diffondere altri payload, rendendolo un malware particolarmente utile per il controllo a lungo termine dei sistemi compromessi.
Gli esperti hanno collegato WarmCookie al gruppo di minacce TA866, attivo dal 2023, notando somiglianze significative con un’altra famiglia di malware, Resident Backdoor, utilizzata anch’essa da TA866. Nonostante le somiglianze, WarmCookie presenta funzionalità più avanzate, rendendolo più efficiente e versatile rispetto a Resident Backdoor.
Il processo di infezione di WarmCookie inizia solitamente con downloader JavaScript distribuiti tramite malspam o malvertising che, una volta eseguiti, scaricano il malware vero e proprio. Gli ultimi aggiornamenti osservati mostrano che WarmCookie continua a evolversi, con miglioramenti nel meccanismo di persistenza e una maggiore capacità di evitare i rilevamenti. Cisco Talos prevede che il malware continuerà a svilupparsi, aumentando la sua pericolosità e rafforzando il legame con le attività del gruppo TA866.
https://www.infosecurity-magazine.com/news/malware-warmcookie-users-malicious/