Diese Seite ist dazu gedacht, Opfer über die Funktionsweise von Warmcookie zu informieren und es zu entfernen. Ein großes Dankeschön an die Sicherheitsforscher, die ihre Informationen öffentlich gemacht haben, darunter Elastic und Esentire. Ohne die Benachrichtigung, die sie an alle weitergegeben haben, könnten wir uns nicht um Warmcookie kümmern.
Weiter unten auf der Seite finden Sie eine Anleitung zum Entfernen von Warmcookie.
Wir empfehlen Ihnen, den Rest des Artikels zu lesen, damit Sie wissen, was es mit Ihnen macht und wie Sie sich davor schützen können. Wir haben alle Informationen, die Sie unserer Meinung nach lesen sollten, fett hervorgehoben.
Was ist Warmcookie?
Warmcookie ist ein Backdoor-Trojaner, der kürzlich in Cybersicherheitskreisen für Aufsehen gesorgt hat. Er existiert seit mindestens Ende April 2024, erlangte aber erst jetzt Bekanntheit. Es gibt einige ältere, weniger raffinierte Versuche vor April, aber sie sind nicht so gefährlich und es ist unwahrscheinlich, dass Sie auf sie stoßen.
Download-Tool zum EntfernenEntfernen Sie WarmcookieWarmcookie beginnt sofort mit der Bereitstellung zusätzlicher Payloads auf einem infizierten PC und klassifiziert ihn als Hintertür. Einfach ausgedrückt handelt es sich dabei um einen Trojaner, der Sie mit weiterer Malware infizieren soll, die er fast sofort herunterzuladen versucht. Warmcookie beginnt, Screenshots aufzunehmen und alle vertraulichen Informationen zu sammeln, die er speziell für diese Zwecke bekommen kann. Etwa alle 10 Sekunden versucht er, die gesammelten Daten an den Server der Kriminellen zu senden, die bestimmen, womit sie Sie zusätzlich infizieren.
Zu diesem Zeitpunkt können wir noch nicht genau sagen, welche Auswirkungen Warmcookie auf Ihr Netzwerk und Ihren PC haben wird, da diese je nach Gerätetyp variieren können – ob arbeits- oder privat genutzt. Aber im Gegensatz zu leichteren Trojanern überwacht Warmcookie Sie bereits von Anfang an. Das bedeutet, dass fast immer nach den ersten Aufklärungssitzungen des Trojaners ein Keylogger installiert wird. Von da an aktiviert er weitere bösartige Aktivitäten, die geplante Aufgaben ausnutzen, die mit Systemberechtigungen ausgeführt werden.
Wie gefährlich ist Warmcookie?
Der Schaden, den Warmcookie anrichtet, ist erheblich. Es zielt speziell auf Fertigungs-, Handels- und Gesundheitsunternehmen ab, seien es kleine Unternehmen oder größere Netzwerke. Solche Malware-Operationen zielen immer darauf ab, den Opfern so viel Geld wie möglich abzuknöpfen, daher wird Warmcookie versuchen, den größtmöglichen Schaden anzurichten.
Der Trojaner verschlüsselt seine Strings, was jede allgemeine Analyse erschwert, was die Sache noch komplizierter macht. Es ist sehr schwierig, genau zu sagen, was er tut, da er seine Aktivitäten vor allen Sicherheitstools aktiv verschleiert. Auf diese Weise gelingt es ihm, von Windows Defender und weniger ausgefeilten Anti-Malware-Programmen unentdeckt zu bleiben.
Das Gefährlichste an Warmcookie ist, dass es ohne Vorankündigung erweiterte Privilegien erlangen und Benutzerberechtigungen außer Kraft setzen kann. Dieser Zugriff ermöglicht es ihm, Befehle mit Systemberechtigung auszuführen. Solche Bedrohungen sind immer am schwierigsten zu entfernen, da der Trojaner ohnehin versucht, sich vor Ihnen zu verstecken. Selbst wenn Sie seine Dateien finden, werden Sie eine allgemeine Phase der Paranoia erleben, ob Warmcookie Sie erneut infizieren wird oder nicht.
Download-Tool zum EntfernenEntfernen Sie WarmcookieWenn man bedenkt, dass Warmcookie als Keylogger fungieren kann, ist dies besonders beunruhigend und hat sehr schwerwiegende Folgen. Jede Taste, die Sie drücken, einschließlich Passwörtern, Kreditkartennummern und persönlichen Nachrichten, kann aufgezeichnet und an den Angreifer gesendet werden. Ein solcher Angriff kann dazu führen, dass Arbeitsgeräte völlig funktionsunfähig werden, da Sie darauf keine vertraulichen Informationen verwenden können. Wenn beispielsweise Ihr gesamtes Netzwerk damit infiziert ist, kann Warmcookie zu enormem Datenverlust führen.
Die Angreifer können sich als Opfer ausgeben, wenn sie Zugriff auf persönliche Informationen haben. Stellen Sie sich ein Szenario vor, in dem Sie herausfinden, dass Sie ein neues Bankkonto oder einen Kredit haben oder in eine andere betrügerische Aktivität verwickelt sind. Wir möchten Sie mit dieser Aussage nicht noch mehr erschrecken. Wir möchten nur, dass Sie sich darüber im Klaren sind, dass Sie sich in einer ernsten Situation befinden.
Warmcookies Vertriebskampagne
Warmcookie infiltriert Systeme durch einfallsreiche und überzeugende Phishing-E-Mail-Kampagnen mit berufsbezogenen Themen. Normalerweise gibt sich der Schädling als Personalvermittlungsfirma aus und sendet Ihnen einen Link zu einer Zielseite. Diese Seite, die echt aussieht, fordert Benutzer auf, nach dem Lösen eines CAPTCHA ein Dokument herunterzuladen. Diese einfache Interaktion löst den Download von Warmcookie aus.
Eine solche E-Mail enthält beispielsweise einen PDF-Anhang, der den Benutzer auf Domänen wie refxsap[.]com (dies ist nur ein Beispiel) weiterleitet. Abhängig vom geografischen Standort des Benutzers leitet diese Domäne entweder zu einer JavaScript-Nutzlast weiter oder zeigt eine TeamViewer-Installationsseite an. In Wirklichkeit werden die gefährlichen Downloads auf kompromittierten WordPress-Websites gehostet.
Für technisch versiertere Leute: Wenn Sie den JavaScript-Anhang öffnen, lädt er eine MSI-Datei herunter und führt sie aus. Das erste derartige Installationsprogramm legt häufig eine Visual Basic Script (VBS)-Datei im Ordner ProgramData/Cis ab. Diese Datei kontaktiert den C2-Server mit der Seriennummer der infizierten Maschine und ruft zusätzliche Downloads ab. Das Skript tritt dann alle 9368 Millisekunden in eine Schleife und versucht weitere Installationen.
Die MSI-Dateien sind normalerweise drei pro Instanz und enthalten Tools oder Skripte zum Erstellen von Screenshots des Hosts. Insbesondere haben wir AutoHotKey-Skripte, AutoIt, Python-Skripte und i_view32.exe bemerkt.
Die von Warmcookie verwendete Phishing-Kampagne heißt Resident und zeigt, wie raffinierte Cyberkriminelle mehrere Iterationen überstehen können. Warmcookie verwendet PowerShell-Befehle, um Skripte von vom Angreifer gehosteten Domänen auszuführen. Die Kampagne ist nach der benutzerdefinierten Hintertür benannt, die aus Sitzungen mit dem Befehls- und Kontrollserver (C2) abgerufen wird. Sie verwendet häufig gefälschte OneDrive-Anhänge, die zu einer Seite führen, auf der die JavaScript-Nutzlast gehostet wird, die über Drive-by-Downloads bereitgestellt wird. Solche Downloads können Sie auch mit Tools wie dem Rhadamanthys-Stealer infizieren.
Erfahren Sie, wie Warmcookie wirklich von Ihrem Computer Entfernen
Schritt 1. Warmcookie Entfernen von Windows
a) Windows 7 / XP
- Drücken Sie auf das Startsymbol.
- Systemsteuerung → Programme und Funktionen.
- Suchen Sie das Programm, das Sie löschen möchten, und klicken Sie auf Deinstallieren.
b) Windows 8
- Klicken Sie mit der rechten Maustaste auf das Startsymbol (untere linke Ecke).
- Wählen Sie Systemsteuerung.
- Klicken Sie auf Programme und Funktionen.
- Suchen und entfernen Sie alle unerwünschten Programme.
c) Windows 10
- Öffnen Sie das Startmenü und klicken Sie auf die Lupe (neben der Schaltfläche zum Herunterfahren).
- Geben Sie die Systemsteuerung ein.
- Systemsteuerung → Programme und Funktionen.
- Suchen und entfernen Sie alle unerwünschten Programme.
d) Mac OS X
- Öffnen Sie den Finder und drücken Sie Anwendungen.
- Überprüfen Sie alle verdächtigen Programme, die Sie entfernen möchten.
- Ziehen Sie sie auf das Papierkorbsymbol in Ihrem Dock (Alternativ klicken Sie mit der rechten Maustaste auf das Programm und drücken Sie Auf Papierkorb verschieben).
- Nachdem Sie alle unerwünschten Programme verschoben haben, klicken Sie mit der rechten Maustaste auf das Papierkorbsymbol und wählen Sie Papierkorb leeren.
Schritt 2. Löschen Sie Warmcookie aus den Browsern
a) Entfernen Sie Warmcookie von Microsoft Edge
Microsoft Edge zurücksetzen (Methode 1)
- Öffnen Sie Microsoft Edge.
- Drücken Sie auf Mehr in der oberen rechten Ecke des Bildschirms (die drei Punkte).
- Einstellungen → Wählen Sie aus, was gelöscht werden soll.
- Aktivieren Sie die Kontrollkästchen der Elemente, die entfernt werden sollen, und klicken Sie auf Löschen.
- Drücken Sie gleichzeitig Strg + Alt + Entf.
- Wählen Sie Task-Manager.
- Suchen Sie auf der Registerkarte Prozesse den Microsoft Edge-Prozess, klicken Sie mit der rechten Maustaste darauf und drücken Sie Gehe zu Details (oder Weitere Details, wenn Gehe zu Details nicht verfügbar ist).
- Klicken Sie mit der rechten Maustaste auf alle Microsoft Edge-Prozesse und wählen Sie Aufgabe beenden.
(Methode 2)
Sichern Sie Ihre Daten, bevor Sie mit dieser Methode fortfahren.- Wechseln Sie zu C: Benutzer % Benutzername% AppData Local Packages Microsoft.MicrosoftEdge_xxxxxxxxxx.
- Wählen Sie alle Ordner aus, klicken Sie mit der rechten Maustaste darauf und drücken Sie Löschen.
- Drücken Sie die Starttaste und geben Sie Windows PowerShell in das Suchfeld ein.
- Klicken Sie mit der rechten Maustaste auf das Ergebnis und wählen Sie Als Administrator ausführen.
- Fügen Sie in Administrator: Windows PowerShell ein Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register $ ($ _. InstallLocation) AppXManifest.xml -Verbose} Tippen Sie unter PS C: WINDOWS system32> auf die Eingabetaste.
- Das Problem sollte jetzt weg sein.
b) Entfernen Sie Warmcookie von Internet Explorer
- Öffnen Sie Internet Explorer und drücken Sie auf das Zahnradsymbol.
- Wählen Sie Add-Ons verwalten und dann Symbolleisten und Erweiterungen.
- Suchen und deaktivieren Sie alle verdächtigen Erweiterungen.
- Schließe das Fenster.
c) Stellen Sie Ihre Homepage auf Internet Explorer wieder her
- Öffnen Sie Internet Explorer und drücken Sie auf das Zahnradsymbol.
- Internetoptionen → Registerkarte Allgemein. Löschen Sie die Homepage-URL und geben Sie Ihre bevorzugte ein.
- Drücken Sie Übernehmen.
d) Internet Explorer zurücksetzen
- Öffnen Sie Internet Explorer und drücken Sie auf das Zahnradsymbol.
- Internetoptionen → Registerkarte Erweitert.
- Unten sehen Sie eine Schaltfläche zum Zurücksetzen. Drücken Sie das.
- Aktivieren Sie im angezeigten Fenster das Kontrollkästchen Persönliche Einstellungen löschen.
- Drücken Sie Zurücksetzen.
- Klicken Sie auf OK, um das Fenster zu schließen.
- Starten Sie Ihren Browser neu.
e) Entfernen Sie Warmcookie von Google Chrome
- Öffnen Sie Google Chrome und drücken Sie auf das Menüsymbol rechts neben dem URL-Feld.
- Wählen Sie Weitere Tools und Erweiterungen.
- Entfernen Sie verdächtige Erweiterungen, indem Sie auf das Papierkorbsymbol neben ihnen klicken.
- Wenn Sie sich bei einer Erweiterung nicht sicher sind, können Sie sie deaktivieren, indem Sie das Kontrollkästchen Aktiviert deaktivieren. Wenn Sie es später behalten möchten, aktivieren Sie einfach das Kontrollkästchen erneut.
f) Stellen Sie Ihre Homepage auf Google Chrome wieder her
- Öffnen Sie Google Chrome und drücken Sie auf das Menüsymbol rechts neben dem URL-Feld.
- Wählen Sie Einstellungen.
- In dem Fenster, das unter Beim Start angezeigt wird, wird die Option Seiten festlegen angezeigt. Drücken Sie darauf.
- Entfernen Sie die festgelegte Website und geben Sie die Website ein, die Sie als Startseite bevorzugen. Drücke OK.
- In den Einstellungen gibt es unter Suchen die Option Suchmaschinen verwalten. Wählen Sie das aus.
- Entfernen Sie alle Suchmaschinen außer der, die Sie verwenden möchten. Klicken Sie auf Fertig.
g) Google Chrome zurücksetzen
- Öffnen Sie Google Chrome und drücken Sie auf das Menüsymbol rechts neben dem URL-Feld.
- Wählen Sie Einstellungen.
- Scrollen Sie nach unten und klicken Sie auf Erweiterte Einstellungen anzeigen.
- Suchen Sie die Reset-Taste und drücken Sie sie.
- Drücken Sie im angezeigten Bestätigungsfenster auf Zurücksetzen.
h) Entfernen Sie Warmcookie aus Mozilla Firefox
- Öffnen Sie Mozilla Firefox und rufen Sie das Menü auf, indem Sie auf die drei Balken rechts auf dem Bildschirm klicken.
- Wählen Sie Add-Ons.
- Wählen Sie die Registerkarte Erweiterungen und entfernen Sie alle fraglichen Erweiterungen.
- Wenn Sie sich bei einer Erweiterung nicht sicher sind, können Sie sie deaktivieren, indem Sie auf Deaktivieren klicken. Wenn Sie es später behalten möchten, drücken Sie einfach Aktivieren.
i) Stellen Sie Ihre Homepage unter Mozilla Firefox wieder her
- Öffnen Sie Mozilla Firefox und rufen Sie das Menü auf, indem Sie auf die drei Balken auf der rechten Seite des Bildschirms klicken.
- Wähle Optionen.
- Klicken Sie im Allgemeinen unter dem Feld Startseite auf Standard wiederherstellen.
j) Setzen Sie Mozilla Firefox zurück
- Öffnen Sie Mozilla Firefox und rufen Sie das Menü auf, indem Sie auf die drei Balken rechts auf dem Bildschirm klicken.
- Drücken Sie das Fragezeichen am unteren Rand des Menüs.
- Wählen Sie Informationen zur Fehlerbehebung.
- Wählen Sie die Option Firefox aktualisieren.
k) Entfernen Sie Warmcookie aus Safari (für Mac)
- Öffnen Sie Safari.
- Wählen Sie Einstellungen (Sie können darauf zugreifen, indem Sie oben auf dem Bildschirm auf Safari klicken).
- Wählen Sie die Registerkarte Erweiterungen.
- Deinstallieren Sie alle fraglichen Erweiterungen.
- Wenn Sie sich bei einer Erweiterung nicht sicher sind, können Sie sie deaktivieren, indem Sie das Kontrollkästchen Aktiviert deaktivieren. Wenn Sie es später behalten möchten, aktivieren Sie einfach das Kontrollkästchen erneut.
l) Safari zurücksetzen
Wenn Sie die Versionen Yosemite, El Capitan oder Sierra verwenden, ist die Option zum Zurücksetzen von Safari mit einem Klick nicht verfügbar. Daher müssen Sie den Verlauf löschen und die Caches in separaten Schritten leeren.- Öffnen Sie Safari.
- Wählen Sie Verlauf löschen (Zugriff durch Drücken auf Safari oben auf dem Bildschirm).
- Wählen Sie aus, wann der Verlauf gelöscht werden soll, und klicken Sie auf Verlauf löschen.
- Drücken Sie oben auf dem Bildschirm auf Safari und wählen Sie Einstellungen.
- Wählen Sie die Registerkarte Erweitert und aktivieren Sie das Kontrollkästchen neben dem Menü Entwicklung anzeigen in der Menüleiste.
- Wählen Sie Entwickeln (in der Menüleiste oben auf dem Bildschirm).
- Drücken Sie Leere Caches.