Visão Geral da Ameaça

Pesquisadores de cibersegurança revelaram detalhes de uma campanha de phishing ativa que explora o interesse de profissionais por oportunidades de emprego para implantar um backdoor sofisticado conhecido como WARMCOOKIE.

A campanha, ativa desde pelo menos o início de 2024, utiliza e-mails com aparência legítima de recrutadores e plataformas de emprego para atrair vítimas a clicar em links maliciosos.

Como Funciona o Ataque

O vetor de infecção segue o seguinte fluxo:

  1. Phishing inicial: A vítima recebe um e-mail com uma proposta de emprego atraente, geralmente personalizando o cargo e a empresa para aumentar a credibilidade.
  2. Link de “avaliação”: O e-mail convida o candidato a completar uma avaliação técnica hospedada em um domínio fraudulento.
  3. Download do payload: Ao acessar o link, um arquivo JavaScript ofuscado é executado no navegador, iniciando o download do loader.
  4. Instalação do WARMCOOKIE: O backdoor é instalado com persistência via registro do Windows, estabelecendo comunicação com servidores de comando e controle (C2).

Capacidades do WARMCOOKIE

Uma vez implantado, o WARMCOOKIE oferece aos atacantes:

  • Execução remota de comandos arbitrários
  • Captura de screenshots em intervalos configuráveis
  • Exfiltração de arquivos e credenciais armazenadas
  • Capacidade de baixar e executar payloads adicionais (ransomware, spyware)
  • Persistência entre reinicializações via chaves de registro

Indicadores de Comprometimento (IoCs)

Os pesquisadores identificaram os seguintes IoCs associados à campanha:

  • Domínios C2: padrão [palavra]-jobs[.]com, career-[empresa][.]net
  • Hash SHA-256 do loader inicial (varia por campanha)
  • User-agent incomum nas requisições HTTP ao C2

Recomendações de Defesa

A SecureByte recomenda as seguintes medidas preventivas:

  • Filtro de e-mail avançado: Bloqueio de domínios recém-registrados com temática de RH
  • Conscientização: Treinamento específico sobre phishing com tema de emprego
  • EDR atualizado: Detecção comportamental de processos filhos incomuns do navegador
  • Monitoramento DNS: Alertas para queries a domínios com baixa reputação
  • MFA em todos os acessos: Mitigação do impacto de eventual roubo de credenciais

Conclusão

Campanhas que exploram o desejo por oportunidades de emprego são particularmente eficazes porque afetam até profissionais tecnicamente experientes fora de seu ambiente corporativo protegido. A combinação de engenharia social sofisticada com um backdoor de múltiplos estágios torna o WARMCOOKIE uma ameaça séria para organizações de todos os setores.