Esta página é dedicada a educar as vítimas sobre o que Warmcookie faz e à sua remoção. Um grande obrigado aos pesquisadores de segurança que tornaram suas informações públicas, incluindo Elastic e Esentire. Sem o aviso que deram a todos, não poderíamos abordar Warmcookie.
Há um guia de remoção para Warmcookie mais abaixo na página.
Recomendamos que você leia o restante do artigo para saber o que ele está fazendo com você e como se proteger dele. Destacamos em negrito todas as informações que acreditamos que você precisa ler.
O que é Warmcookie?
Warmcookie é um Trojan backdoor que recentemente causou polêmica nos círculos de segurança cibernética. Já existe pelo menos desde o final de abril de 2024, mas só ganhou notoriedade agora. Existem algumas tentativas mais antigas e pouco refinadas antes de abril, mas não são tão perigosas e é improvável que você as encontre.
O Warmcookie começa imediatamente a implantar cargas adicionais uma vez em um PC infectado, classificando-o como um backdoor. Em termos mais simples, é um trojan que existe para infectar você com mais malware, que tenta baixar quase imediatamente. Warmcookie começa a capturar capturas de tela e coletar qualquer informação sensível que possa obter especificamente para esses fins. Aproximadamente a cada 10 segundos ele tenta enviar os dados coletados para o servidor dos criminosos que determinam com o que infectá-lo ainda mais.
Download ferramenta de remoçãoremover WarmcookieNesse ponto, não podemos afirmar os efeitos exatos que Warmcookie terá em sua rede e PC, pois isso pode variar dependendo do tipo de dispositivo – seja ele relacionado ao trabalho ou à casa. Mas, ao contrário dos casos mais leves de trojans, o Warmcookie já monitora você desde o início. Isso significa quase universalmente que um keylogger é instalado após as sessões iniciais de reconhecimento do trojan. A partir de então, ele ativa outras atividades maliciosas que aproveitam tarefas agendadas executadas com privilégios de sistema.
Quão perigoso é Warmcookie?
O dano que Warmcookie causa é significativo. Destina-se especificamente a empresas industriais, comerciais e de saúde, sejam pequenas empresas ou redes maiores. Essas operações de malware estão sempre centradas em extrair o máximo de dinheiro possível das vítimas, de modo que o Warmcookie tentará causar o máximo de danos possível.
O trojan criptografa suas strings, tornando qualquer análise genérica desafiadora, o que complica ainda mais as coisas. É muito difícil apontar exatamente o que ele faz porque oculta ativamente suas atividades de qualquer ferramenta de segurança. É assim que ele consegue passar despercebido pelo Windows Defender e por programas antimalware menos refinados.
A coisa mais perigosa sobre Warmcookie é que ele pode obter privilégios elevados e substituir permissões de usuário sem qualquer aviso prévio. Esse acesso permite executar comandos com autoridade em nível de sistema. Essas ameaças são sempre as mais difíceis de remover, pois o trojan tenta se esconder de você de qualquer maneira. Mesmo que você encontre seus arquivos, haverá um período geral de paranóia se Warmcookie irá infectá-lo novamente ou não.
Considerando que Warmcookie pode atuar como um keylogger, isso é especialmente preocupante, com implicações muito graves. Cada tecla pressionada, incluindo senhas, números de cartão de crédito e mensagens pessoais, pode ser gravada e enviada ao invasor. Tal violação pode tornar os dispositivos de trabalho totalmente inoperantes, uma vez que você não pode usar informações confidenciais neles. Se, por exemplo, toda a sua rede estiver infectada, Warmcookie pode levar a uma enorme perda de dados.
Download ferramenta de remoçãoremover WarmcookieOs invasores podem se passar por vítimas se tiverem acesso a informações pessoais. Imagine um cenário em que você descobre que tem uma nova conta bancária, um empréstimo ou está vinculado a outra atividade fraudulenta. Não queremos assustá-lo ainda mais com esta afirmação. Queremos apenas que você saiba que está em uma situação grave.
Campanha de distribuição de Warmcookie
Warmcookie se infiltra nos sistemas por meio de campanhas de phishing por e-mail criativas e convincentes com temas relacionados ao trabalho. Normalmente, isso significa apresentar-se como uma empresa de recrutamento que lhe envia um link para uma página de destino. Esta página, criada para parecer legítima, solicita aos usuários que baixem um documento após resolver um CAPTCHA. Esta simples interação inicia o download de Warmcookie.
Por exemplo, um desses e-mails inclui um anexo em PDF que direciona o usuário para domínios como refxsap[.]com (este é apenas um exemplo). Dependendo da geolocalização do usuário, este domínio redireciona para uma carga JavaScript ou exibe uma página do instalador do TeamViewer. Na realidade, os downloads perigosos estão hospedados em sites WordPress comprometidos.
Para pessoas com mentalidade mais técnica: Se você abrir o anexo JavaScript, ele baixará e executará um arquivo MSI. O primeiro instalador geralmente coloca um arquivo Visual Basic Script (VBS) na pasta ProgramData/Cis. Este arquivo entra em contato com o servidor C2 com o número de série da máquina infectada e recupera downloads adicionais. O script então entra em um loop a cada 9.368 milissegundos e tenta novas instalações.
Os arquivos MSI são geralmente três por instância e incluem ferramentas ou scripts para fazer capturas de tela do host. Ou seja, notamos scripts AutoHotKey, AutoIt, scripts Python e i_view32.exe.
A campanha de phishing que Warmcookie usa é chamada de Residente e mostra como os cibercriminosos sofisticados podem superar várias iterações. Warmcookie usa comandos do PowerShell para executar scripts de domínios hospedados por invasores. A campanha recebe o nome do backdoor personalizado recuperado de sessões com o servidor de comando e controle (C2). Freqüentemente, ele usa anexos falsos do OneDrive que levam a uma página que hospeda a carga JavaScript, entregue por meio de downloads drive-by. Esses downloads também podem infectar você com ferramentas como o ladrão Rhadamanthys.
Aprenda a remover Warmcookie do seu computador
Passo 1. Remoção Warmcookie do Windows
a) Windows 7 / XP
- Pressione o ícone Iniciar.
- Painel de controle → Programas e recursos.
- Encontre o programa que deseja excluir e pressione Desinstalar.
b) Windows 8
- Clique com o botão direito no ícone iniciar (canto esquerdo inferior).
- Selecione Painel de controle.
- Clique em Programas e recursos.
- Encontre e remova todos os programas indesejados.
c) Windows 10
- Abra o menu Iniciar e clique na lupa (ao lado do botão desligar).
- Digite no painel de controle.
- Painel de controle → Programas e recursos.
- Encontre e remova todos os programas indesejados.
d) Mac OS X
- Abra o Finder e pressione Aplicativos.
- Verifique todos os programas suspeitos dos quais deseja se livrar.
- Arraste-os para o ícone da lixeira em seu dock (como alternativa, clique com o botão direito no programa e pressione Mover para a lixeira).
- Depois de mover todos os programas indesejados, clique com o botão direito do mouse no ícone da lixeira e selecione Esvaziar Lixeira.
Passo 2. Exclua Warmcookie dos navegadores
a) Remova Warmcookie do Microsoft Edge
Redefinir o Microsoft Edge (Método 1)
- Abra o Microsoft Edge.
- Pressione Mais localizado no canto superior direito da tela (os três pontos).
- Configurações → Escolha o que limpar.
- Marque as caixas dos itens que deseja remover e pressione Limpar.
- Pressione Ctrl + Alt + Delete juntos.
- Escolha o Gerenciador de tarefas.
- Na guia Processos, localize o processo do Microsoft Edge, clique com o botão direito nele e pressione Ir para detalhes (ou Mais detalhes se Ir para detalhes não estiver disponível).
- Clique com o botão direito em todos os processos do Microsoft Edge e escolha Finalizar tarefa.
(Método 2)
Antes de prosseguir com este método, faça backup de seus dados.- Vá para C: Usuários % nome de usuário% AppData Local Packages Microsoft.MicrosoftEdge_xxxxxxxxxx.
- Selecione todas as pastas, clique com o botão direito nelas e pressione Delete.
- Pressione o botão Iniciar e digite Windows PowerShell na caixa de pesquisa.
- Clique com o botão direito no resultado e selecione Executar como administrador.
- Em Administrador: Windows PowerShell, cole Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register $ ($ _. InstallLocation) AppXManifest.xml -Verbose} em PS C: WINDOWS system32> e toque em Enter.
- O problema deve ser resolvido agora.
b) Remova Warmcookie de Internet Explorer
- Abra Internet Explorer e pressione o ícone de engrenagem.
- Selecione Gerenciar complementos e, em seguida, Barras de ferramentas e extensões.
- Encontre e desative todas as extensões suspeitas.
- Feche a janela.
c) Restaure sua página inicial em Internet Explorer
- Abra Internet Explorer e pressione o ícone de engrenagem.
- Opções da Internet → guia Geral. Exclua o URL da página inicial e digite o seu preferido.
- Pressione Aplicar.
d) Reiniciar Internet Explorer
- Abra Internet Explorer e pressione o ícone de engrenagem.
- Opções da Internet → guia Avançado.
- Na parte inferior, você verá um botão Reset. Pressione isso.
- Na janela que aparece, marque a caixa que diz Excluir configurações pessoais.
- Pressione Reiniciar.
- Clique em OK para sair da janela.
- Reinicie seu navegador.
e) Remova Warmcookie de Google Chrome
- Abra Google Chrome e pressione o ícone de menu à direita, próximo ao campo URL.
- Escolha mais ferramentas e extensões.
- Remova extensões suspeitas clicando no ícone Lixeira ao lado delas.
- Se não tiver certeza sobre uma extensão, você pode desativá-la desmarcando a caixa que diz Ativada. Se você decidir mantê-lo posteriormente, basta marcar a caixa novamente.
f) Restaure sua página inicial em Google Chrome
- Abra Google Chrome e pressione o ícone de menu à direita, próximo ao campo URL.
- Escolha Configurações.
- Na janela que aparece, em Na inicialização, haverá uma opção Definir páginas. Pressione nisso.
- Remova o site definido e digite aquele que você preferir como sua página inicial. Pressione OK.
- Em Configurações, em Pesquisar, há uma opção Gerenciar mecanismos de pesquisa. Selecione isso.
- Remova todos os mecanismos de pesquisa, exceto aquele que você deseja usar. Clique em Concluído.
g) Reiniciar Google Chrome
- Abra Google Chrome e pressione o ícone de menu à direita, próximo ao campo URL.
- Escolha Configurações.
- Role para baixo e pressione Mostrar configurações avançadas.
- Encontre e pressione o botão Reiniciar.
- Na janela de confirmação que aparece, pressione Reiniciar.
h) Remova Warmcookie do Mozilla Firefox
- Abra o Mozilla Firefox e acesse o menu clicando nas três barras à direita da tela.
- Selecione Add-ons.
- Selecione a guia Extensões e remova todas as extensões questionáveis.
- Se não tiver certeza sobre uma extensão, você pode desativá-la clicando em Desativar. Se mais tarde você decidir mantê-lo, simplesmente pressione Ativar.
i) Restaure sua página inicial no Mozilla Firefox
- Abra o Mozilla Firefox e acesse o menu clicando nas três barras à direita da tela.
- Selecione as opções.
- Em geral, clique em Restaurar para o padrão abaixo do campo Página inicial.
j) Reiniciar Mozilla Firefox
- Abra o Mozilla Firefox e acesse o menu clicando nas três barras à direita da tela.
- Pressione o ponto de interrogação na parte inferior do menu.
- Selecione Informações para solução de problemas.
- Selecione a opção Atualizar Firefox.
k) Remova Warmcookie do Safari (para Mac)
- Abra o Safari.
- Selecione Preferências (pode ser acessado pressionando Safari na parte superior da tela).
- Escolha a guia Extensões.
- Desinstale todas as extensões questionáveis.
- Se não tiver certeza sobre uma extensão, você pode desativá-la desmarcando a caixa que diz Ativada. Se você decidir mantê-lo posteriormente, basta marcar a caixa novamente.
l) Reiniciar Safari
Se você estiver usando as versões Yosemite, El Capitan ou Sierra, a opção de redefinir o Safari com um clique não está disponível. Portanto, você terá que limpar o histórico e esvaziar os caches em etapas separadas.- Abra o Safari.
- Selecione Limpar histórico (pode ser acessado pressionando Safari na parte superior da tela).
- Escolha a que horas deseja que o histórico seja excluído e pressione Limpar histórico.
- Pressione Safari na parte superior da tela e selecione Preferências.
- Selecione a guia Avançado e marque a caixa ao lado de Mostrar menu Revelação na barra de menus.
- Selecione Desenvolver (na barra de menus na parte superior da tela).
- Pressione Esvaziar caches.