Warmcookie Alerta de amenaza

Esta página está dedicada a educar a las víctimas sobre lo que hace Warmcookie y su eliminación. Muchas gracias a los investigadores de seguridad que hicieron pública su información, incluidos Elastic y Esentire. Sin el aviso que le dieron a todos, no podríamos abordar Warmcookie.

Hay una guía de eliminación para Warmcookie más abajo en la página.

Le recomendamos que lea el resto del artículo para que sepa lo que le está haciendo y cómo protegerse de él. Resaltamos en negrita cualquier información que creemos que necesita leer.

¿Qué es Warmcookie?

Warmcookie es un troyano de puerta trasera que recientemente causó revuelo en los círculos de ciberseguridad. Ha existido desde al menos finales de abril de 2024, pero recién ahora ganó notoriedad. Hay algunos intentos más antiguos y menos refinados antes de abril, pero no son tan peligrosos y es poco probable que los encuentres.

Warmcookie inmediatamente comienza a implementar cargas útiles adicionales una vez en una PC infectada, clasificándola como una puerta trasera. En términos más simples, se trata de un troyano que existe para infectarle con más malware, que intenta descargar casi de inmediato. Warmcookie comienza a realizar capturas de pantalla y a recopilar cualquier información confidencial que pueda obtener específicamente para estos fines. Aproximadamente cada 10 segundos intenta enviar los datos recopilados al servidor de los delincuentes, quienes determinan con qué más infectarte.

Descargar herramienta de eliminación depara eliminar Warmcookie

En ese momento no podemos indicar los efectos exactos que tendrá Warmcookie en su red y PC, ya que esto puede variar según el tipo de dispositivo, ya sea relacionado con el trabajo o el hogar. Pero a diferencia de los casos más leves de troyanos, Warmcookie ya te monitorea desde el principio. Esto significa que, casi universalmente, se instala un registrador de teclas después de las sesiones de reconocimiento iniciales del troyano. A partir de entonces activa más actividades maliciosas que aprovechan las tareas programadas que se ejecutan con privilegios del sistema.

¿Qué tan peligroso es Warmcookie?

El daño que causa Warmcookie es significativo. Se dirige específicamente a empresas manufactureras, comerciales y de atención sanitaria, ya sean pequeñas empresas o redes más grandes. Estas operaciones de malware siempre se centran en extraer la mayor cantidad de dinero posible de las víctimas, por lo que Warmcookie intentará causar el mayor daño posible.

El troyano cifra sus cadenas, lo que dificulta cualquier análisis genérico, lo que complica aún más las cosas. Es muy difícil señalar qué hace exactamente porque oculta activamente sus actividades frente a cualquier herramienta de seguridad. Así es como logra pasar desapercibido para Windows Defender y programas antimalware menos refinados.

Lo más peligroso de Warmcookie es que puede obtener privilegios elevados y anular los permisos de los usuarios sin previo aviso. Este acceso le permite ejecutar comandos con autoridad a nivel de sistema. Este tipo de amenazas son siempre las más difíciles de eliminar, ya que el troyano intenta esconderse de usted de todos modos. Incluso si encuentras sus archivos, habrá un período general de paranoia sobre si Warmcookie te reinfectará o no.

Teniendo en cuenta que Warmcookie puede actuar como un registrador de teclas, esto es especialmente preocupante y tiene implicaciones muy graves. Cada tecla que presione, incluidas contraseñas, números de tarjetas de crédito y mensajes personales, puede grabarse y enviarse al atacante. Una infracción de este tipo puede hacer que los dispositivos de trabajo queden totalmente inoperables, ya que no se puede utilizar información confidencial en ellos. Si, por ejemplo, toda su red está infectada con él, Warmcookie puede provocar una gran pérdida de datos.

Descargar herramienta de eliminación depara eliminar Warmcookie

Los atacantes pueden hacerse pasar por víctimas si tienen acceso a información personal. Imagine un escenario en el que descubre que tiene nuevas cuentas bancarias, un préstamo o está vinculado a otra actividad fraudulenta. No queremos asustarte más con esta afirmación. Sólo queremos que sepa que se encuentra en una situación grave.

Campaña de distribución de Warmcookie

Warmcookie se infiltra en los sistemas a través de imaginativas y convincentes campañas de correo electrónico de phishing con temas relacionados con el trabajo. Normalmente, esto significa presentarse como una empresa de contratación que le envía un enlace a una página de destino. Esta página, diseñada para parecer legítima, solicita a los usuarios que descarguen un documento después de resolver un CAPTCHA. Esta simple interacción inicia la descarga de Warmcookie.

Por ejemplo, uno de esos correos electrónicos incluye un archivo PDF adjunto que dirige al usuario a dominios como refxsap[.]com (esto es sólo un ejemplo). Dependiendo de la ubicación geográfica del usuario, este dominio redirige a una carga útil de JavaScript o muestra una página de instalación de TeamViewer. En realidad, las descargas peligrosas están alojadas en sitios web comprometidos de WordPress.

Para personas con mentalidad más técnica: si abre el archivo adjunto JavaScript, descarga y ejecuta un archivo MSI. El primer instalador de este tipo suele colocar un archivo Visual Basic Script (VBS) en la carpeta ProgramData/Cis. Este archivo contacta al servidor C2 con el número de serie de la máquina infectada y recupera descargas adicionales. Luego, el script ingresa en un bucle cada 9368 milisegundos e intenta realizar más instalaciones.

Los archivos MSI suelen ser tres por instancia e incluyen herramientas o scripts para tomar capturas de pantalla del host. Es decir, notamos los scripts AutoHotKey, AutoIt, Python e i_view32.exe.

La campaña de phishing que utiliza Warmcookie se llama Residente y muestra cómo los ciberdelincuentes sofisticados pueden superar varias iteraciones. Warmcookie usa comandos de PowerShell para ejecutar scripts desde dominios alojados por el atacante. La campaña lleva el nombre de la puerta trasera personalizada recuperada de las sesiones con el servidor de comando y control (C2). A menudo utiliza archivos adjuntos falsos de OneDrive que conducen a una página que aloja la carga útil de JavaScript, entregada a través de descargas no autorizadas. Estas descargas también pueden infectarte con herramientas como el ladrón de Rhadamanthys.

Aprender a extraer Warmcookie del ordenador

• Paso 1. Eliminación Warmcookie de Windows
• Paso 2. Eliminar Warmcookie de los navegadores

Paso 1. Eliminación Warmcookie de Windows

• a) Windows 7 / XP
• b) Windows 8
• c) Windows 10
• d) Mac OS X

a) Windows 7 / XP

1. Presiona el ícono de Inicio.
2. Panel de control → Programas y características.
3. Busque el programa que desea eliminar y presione Desinstalar.

b) Windows 8

1. Haga clic derecho en el icono de inicio (esquina inferior izquierda).
2. Seleccione Panel de control.
3. Haga clic en Programas y características.
4. Busque y elimine todos los programas no deseados.

c) Windows 10

1. Abra el menú Inicio y haga clic en la lupa (junto al botón de apagado).
2. Escriba Panel de control.
3. Panel de control → Programas y características.
4. Busque y elimine todos los programas no deseados.

d) Mac OS X

1. Abre Finder y presiona Aplicaciones.
2. Compruebe todos los programas sospechosos de los que desea deshacerse.
3. Arrástrelos al icono de la papelera en su dock (como alternativa, haga clic derecho en el programa y presione Mover a la papelera).
4. Después de mover todos los programas no deseados, haga clic con el botón derecho en el icono de la papelera y seleccione Vaciar papelera.

Paso 2. Eliminar Warmcookie de los navegadores

• a) Quitar Warmcookie de Microsoft Edge
• b) Eliminar Warmcookie de Internet Explorer
• c) Restaura tu página de inicio en Internet Explorer
• d) Restablecer Internet Explorer
• e) Quitar Warmcookie de Google Chrome
• f) Restaura tu página de inicio en Google Chrome
• g) Restablecer Google Chrome
• h) Eliminar Warmcookie de Mozilla Firefox
• i) Restaura tu página de inicio en Mozilla Firefox
• j) Restablecer Mozilla Firefox
• k) Quitar Warmcookie de Safari (para Mac)
• l) Restablecer Safari

a) Quitar Warmcookie de Microsoft Edge

Restablecer Microsoft Edge (método 1)

1. Abra Microsoft Edge.
2. Presione Más ubicado en la esquina superior derecha de la pantalla (los tres puntos).
3. Configuración → Elija qué borrar.
4. Marque las casillas de los elementos que desea eliminar y presione Borrar.
5. Presione Ctrl + Alt + Supr al mismo tiempo.
6. Elija Administrador de tareas.
7. En la pestaña Procesos, busque el proceso de Microsoft Edge, haga clic derecho sobre él y presione Ir a detalles (o Más detalles si Ir a detalles no está disponible).
8. Haga clic con el botón derecho en todos los procesos de Microsoft Edge y elija Finalizar tarea.

(Método 2)

Antes de continuar con este método, haga una copia de seguridad de sus datos.

1. Vaya a C: Users % username% AppData Local Packages Microsoft.MicrosoftEdge_xxxxxxxxxx.
2. Seleccione todas las carpetas, haga clic derecho sobre ellas y presione Eliminar.
3. Presione el botón de inicio y escriba Windows PowerShell en el cuadro de búsqueda.
4. Haga clic con el botón derecho en el resultado y seleccione Ejecutar como administrador.
5. En Administrador: Windows PowerShell, pegue Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register $ ($ _. InstallLocation) AppXManifest.xml -Verbose} en PS C: WINDOWS system32> y toque Intro.
6. El problema debería desaparecer ahora.

b) Eliminar Warmcookie de Internet Explorer

1. Abra Internet Explorer y presione el icono de engranaje.
2. Seleccione Administrar complementos y luego Barras de herramientas y extensiones.
3. Busque y desactive todas las extensiones sospechosas.
4. Cerrar la ventana.

c) Restaura tu página de inicio en Internet Explorer

1. Abra Internet Explorer y presione el ícono de engranaje.
2. Opciones de Internet → pestaña General. Elimina la URL de la página de inicio y escribe la que prefieras.
3. Presione Aplicar.

d) Restablecer Internet Explorer

1. Abra Internet Explorer y presione el icono de engranaje.
2. Opciones de Internet → pestaña Avanzado.
3. En la parte inferior, verá un botón Restablecer. Presione eso.
4. En la ventana que aparece, marque la casilla que dice Eliminar configuración personal.
5. Presione Reset.
6. Haga clic en Aceptar para salir de la ventana.
7. Reinicia tu navegador.

e) Quitar Warmcookie de Google Chrome

1. Abra Google Chrome y presione el ícono de menú a la derecha, junto al campo URL.
2. Elija Más herramientas y extensiones.
3. Elimine las extensiones sospechosas haciendo clic en el icono de la Papelera junto a ellas.
4. Si no está seguro acerca de una extensión, puede desactivarla desmarcando la casilla que dice Activado. Si luego decide conservarlo, simplemente vuelva a marcar la casilla.

Descargar herramienta de eliminación depara eliminar Warmcookie

* WiperSoft scanner, disponible en este sitio web, sólo funciona como una herramienta para la detección de virus. Más datos en WiperSoft. Para que WiperSoft en su plena capacidad, para utilizar la funcionalidad de eliminación, es necesario adquirir la versión completa. En caso de que desea desinstalar WiperSoft, haga clic aquí.

f) Restaura tu página de inicio en Google Chrome

1. Abra Google Chrome y presione el ícono de menú a la derecha, junto al campo URL.
2. Elija Configuración.
3. En la ventana que aparece, en Al inicio, habrá una opción Establecer páginas. Presione en eso.
4. Elimina el sitio web configurado y escribe el que prefieras como página de inicio. Presiona OK.
5. En Configuración, en Búsqueda, hay una opción Administrar motores de búsqueda. Seleccione eso.
6. Elimina todos los motores de búsqueda excepto el que quieras usar. Haz clic en Listo.

g) Restablecer Google Chrome

1. Abra Google Chrome y presione el ícono de menú a la derecha, junto al campo URL.
2. Elija Configuración.
3. Desplácese hacia abajo y presione Mostrar configuración avanzada.
4. Busque y presione el botón Restablecer.
5. En la ventana de confirmación que aparece, presione Restablecer.

h) Eliminar Warmcookie de Mozilla Firefox

1. Abra Mozilla Firefox y acceda al menú haciendo clic en las tres barras a la derecha de la pantalla.
2. Seleccione Complementos.
3. Seleccione la pestaña Extensiones y elimine todas las extensiones cuestionables.
4. Si no está seguro de una extensión, puede desactivarla haciendo clic en Desactivar. Si luego decide conservarlo, simplemente presione Activar.

i) Restaura tu página de inicio en Mozilla Firefox

1. Abra Mozilla Firefox y acceda al menú haciendo clic en las tres barras en el lado derecho de la pantalla.
2. Seleccione opciones.
3. En General, haga clic en Restaurar a los valores predeterminados debajo del campo Página de inicio.

j) Restablecer Mozilla Firefox

1. Abra Mozilla Firefox y acceda al menú haciendo clic en las tres barras a la derecha de la pantalla.
2. Presione el signo de interrogación en la parte inferior del menú.
3. Seleccione Información de solución de problemas.
4. Seleccione la opción Actualizar Firefox.

k) Quitar Warmcookie de Safari (para Mac)

1. Abre Safari.
2. Seleccione Preferencias (se puede acceder presionando Safari en la parte superior de la pantalla).
3. Elija la pestaña Extensiones.
4. Desinstale todas las extensiones cuestionables.
5. Si no está seguro acerca de una extensión, puede desactivarla desmarcando la casilla que dice Activado. Si luego decide conservarlo, simplemente vuelva a marcar la casilla.

l) Restablecer Safari

Si está utilizando las versiones de Yosemite, El Capitan o Sierra, la opción para restablecer Safari con un clic no está disponible. Por lo tanto, tendrá que borrar el historial y vaciar las cachés en pasos separados.

1. Abre Safari.
2. Seleccione Borrar historial (se puede acceder presionando en Safari en la parte superior de la pantalla).
3. Elija desde qué hora desea eliminar el historial y presione Borrar historial.
4. Presiona Safari en la parte superior de la pantalla y selecciona Preferencias.
5. Seleccione la pestaña Avanzado y marque la casilla junto a Mostrar menú Desarrollar en la barra de menú.
6. Seleccione Desarrollar (en la barra de menú en la parte superior de la pantalla).
7. Presione Vaciar cachés.

Si por alguna razón no puede eliminar las extensiones o restablecer sus navegadores, puede ser una buena idea obtener un software anti-spyware y hacer que solucione el problema.