Alerte de menace Warmcookie

Cette page est dédiée à l'éducation des victimes sur ce que fait Warmcookie et à sa suppression. Un grand merci aux chercheurs en sécurité qui ont rendu leurs informations publiques, notamment Elastic et Esentire. Sans l'avertissement qu'ils ont donné à tout le monde, nous ne serions pas en mesure de répondre à Warmcookie.

Il existe un guide de suppression pour Warmcookie plus bas sur la page.

Nous vous invitons à lire le reste de l'article afin de savoir ce que cela vous fait et comment vous en protéger. Nous avons mis en gras toutes les informations que nous pensons devoir lire.

Qu'est-ce que Warmcookie ?

Warmcookie est un cheval de Troie de porte dérobée qui a récemment fait sensation dans les cercles de la cybersécurité. Il existe depuis au moins fin avril 2024, mais n’a gagné en notoriété que maintenant. Il existe quelques tentatives plus anciennes et moins raffinées avant avril, mais elles ne sont pas aussi dangereuses et il est peu probable que vous les rencontriez.

Télécharger outil de suppressionpour supprimer Warmcookie

Warmcookie commence immédiatement à déployer des charges utiles supplémentaires une fois sur un PC infecté, le classant comme porte dérobée. En termes simples, il s'agit d'un cheval de Troie existant pour vous infecter avec davantage de logiciels malveillants, qu'il tente de télécharger presque immédiatement. Warmcookie commence à capturer des captures d'écran et à collecter toutes les informations sensibles qu'il peut obtenir spécifiquement à ces fins. Toutes les 10 secondes environ, il tente d'envoyer les données collectées au serveur des criminels qui déterminent par quoi vous infecter davantage.

À ce stade, nous ne pouvons pas préciser les effets exacts que Warmcookie aura sur votre réseau et votre PC, car cela peut varier en fonction du type d'appareil, qu'il s'agisse du travail ou de la maison. Mais contrairement aux cas plus bénins de chevaux de Troie, Warmcookie vous surveille dès le début. Cela signifie que presque universellement, un enregistreur de frappe est installé après les sessions de reconnaissance initiales du cheval de Troie. À partir de là, il active d’autres activités malveillantes qui profitent des tâches planifiées exécutées avec les privilèges du système.

À quel point Warmcookie est-il dangereux ?

Le préjudice causé par Warmcookie est important. Il cible spécifiquement les entreprises manufacturières, commerciales et de santé, qu’il s’agisse de petites entreprises ou de grands réseaux. Ces opérations de malware visent toujours à extraire le plus d’argent possible des victimes, de sorte que le Warmcookie tentera de causer le plus de dégâts possible.

Le cheval de Troie chiffre ses chaînes, ce qui rend toute analyse générique difficile, ce qui complique encore les choses. Il est très difficile de préciser ce qu'il fait exactement, car il dissimule activement ses activités à tout outil de sécurité. C'est ainsi qu'il parvient à rester indétectable par Windows Defender et les programmes anti-malware moins perfectionnés.

Télécharger outil de suppressionpour supprimer Warmcookie

La chose la plus dangereuse à propos de Warmcookie est qu'il peut obtenir des privilèges élevés et remplacer les autorisations des utilisateurs sans préavis. Cet accès lui permet d'exécuter des commandes avec une autorité au niveau du système. De telles menaces sont toujours les plus difficiles à éliminer puisque le cheval de Troie essaie de toute façon de se cacher de vous. Même si vous retrouvez ses fichiers, il y aura une période générale de paranoïa si Warmcookie vous réinfectera ou non.

Étant donné que Warmcookie peut agir comme un enregistreur de frappe, cela est particulièrement troublant et entraîne de très graves implications. Chaque touche sur laquelle vous appuyez, y compris les mots de passe, les numéros de carte de crédit et les messages personnels, peut être enregistrée et envoyée à l'attaquant. Une telle violation peut rendre les appareils de travail carrément inutilisables puisque vous ne pouvez pas y utiliser d'informations sensibles. Si, par exemple, l’ensemble de votre réseau en est infecté, Warmcookie peut entraîner d’énormes pertes de données.

Les attaquants peuvent usurper l'identité des victimes s'ils ont accès à des informations personnelles. Imaginez un scénario dans lequel vous découvrez que vous avez un nouveau compte bancaire, un prêt ou que vous êtes lié à une autre activité frauduleuse. Nous ne voulons pas vous effrayer davantage avec cette déclaration. Nous voulons juste que vous sachiez que vous êtes dans une situation grave.

Campagne de distribution de Warmcookie

Warmcookie infiltre les systèmes grâce à des campagnes par courrier électronique de phishing imaginatives et convaincantes sur des thèmes liés à l'emploi. Cela signifie généralement se présenter comme une société de recrutement qui vous envoie un lien vers une page de destination. Cette page, conçue pour paraître légitime, invite les utilisateurs à télécharger un document après avoir résolu un CAPTCHA. Cette simple interaction lance le téléchargement de Warmcookie.

Par exemple, l'un de ces e-mails comprend une pièce jointe PDF qui dirige l'utilisateur vers des domaines tels que refxsap[.]com (ceci n'est qu'un exemple). En fonction de la géolocalisation de l'utilisateur, ce domaine redirige vers une charge utile JavaScript ou affiche une page d'installation de TeamViewer. En réalité, les téléchargements dangereux sont hébergés sur des sites WordPress compromis.

Aux personnes plus soucieuses de la technique : Si vous ouvrez la pièce jointe JavaScript, elle télécharge et exécute un fichier MSI. Le premier programme d'installation de ce type dépose souvent un fichier Visual Basic Script (VBS) dans le dossier ProgramData/Cis. Ce fichier contacte le serveur C2 avec le numéro de série de la machine infectée et récupère des téléchargements supplémentaires. Le script entre ensuite dans une boucle toutes les 9 368 millisecondes et tente d'autres installations.

Les fichiers MSI sont généralement au nombre de trois par instance et incluent des outils ou des scripts pour prendre des captures d'écran de l'hôte. À savoir, nous avons remarqué les scripts AutoHotKey, AutoIt, les scripts Python et i_view32.exe.

La campagne de phishing utilisée par Warmcookie s'appelle Resident et montre comment des cybercriminels sophistiqués peuvent surmonter plusieurs itérations. Warmcookie utilise des commandes PowerShell pour exécuter des scripts à partir de domaines hébergés par des attaquants. La campagne porte le nom de la porte dérobée personnalisée extraite des sessions avec le serveur de commande et de contrôle (C2). Il utilise souvent de fausses pièces jointes OneDrive qui mènent à une page hébergeant la charge utile JavaScript, fournie via des téléchargements drive-by. De tels téléchargements peuvent également vous infecter avec des outils comme le voleur Rhadamanthys.

Découvrez comment supprimer Warmcookie depuis votre ordinateur

• Étape 1. Suppression de Warmcookie de Windows
• Étape 2. Supprimer Warmcookie des navigateurs

Étape 1. Suppression de Warmcookie de Windows

• a) Windows 7 / XP
• b) Windows 8
• c) Windows 10
• d) Mac OS X

a) Windows 7 / XP

1. Appuyez sur l'icône Démarrer.
2. Panneau de configuration → Programmes et fonctionnalités.
3. Recherchez le programme que vous souhaitez supprimer et appuyez sur Désinstaller.

b) Windows 8

1. Faites un clic droit sur l'icône de démarrage (coin inférieur gauche).
2. Sélectionnez Panneau de configuration.
3. Cliquez sur Programmes et fonctionnalités.
4. Trouvez et supprimez tous les programmes indésirables.

c) Windows 10

1. Ouvrez le menu Démarrer et cliquez sur la loupe (à côté du bouton d'arrêt).
2. Tapez Panneau de configuration.
3. Panneau de configuration → Programmes et fonctionnalités.
4. Trouvez et supprimez tous les programmes indésirables.

d) Mac OS X

1. Ouvrez le Finder et appuyez sur Applications.
2. Vérifiez tous les programmes suspects dont vous souhaitez vous débarrasser.
3. Faites-les glisser vers l'icône de la corbeille de votre dock (vous pouvez également cliquer avec le bouton droit sur le programme et appuyer sur Déplacer vers la corbeille).
4. Après avoir déplacé tous les programmes indésirables, cliquez avec le bouton droit sur l'icône de la corbeille et sélectionnez Vider la corbeille.

Étape 2. Supprimer Warmcookie des navigateurs

• a) Supprimer Warmcookie de Microsoft Edge
• b) Supprimer Warmcookie de Internet Explorer
• c) Restaurez votre page d'accueil sur Internet Explorer
• d) Réinitialiser Internet Explorer
• e) Supprimer Warmcookie de Google Chrome
• f) Restaurez votre page d'accueil sur Google Chrome
• g) Réinitialiser Google Chrome
• h) Supprimer Warmcookie de Mozilla Firefox
• i) Restaurez votre page d'accueil sur Mozilla Firefox
• j) Réinitialiser Mozilla Firefox
• k) Supprimer Warmcookie de Safari (pour Mac)
• l) Réinitialiser Safari

a) Supprimer Warmcookie de Microsoft Edge

Réinitialiser Microsoft Edge (méthode 1)

1. Ouvrez Microsoft Edge.
2. Appuyez sur Plus situé dans le coin supérieur droit de l'écran (les trois points).
3. Paramètres → Choisissez les éléments à effacer.
4. Cochez les cases des éléments que vous souhaitez supprimer et appuyez sur Effacer.
5. Appuyez simultanément sur Ctrl + Alt + Suppr.
6. Choisissez Gestionnaire de tâches.
7. Dans l'onglet Processus, recherchez le processus Microsoft Edge, cliquez dessus avec le bouton droit de la souris et appuyez sur Aller aux détails (ou Plus de détails si Aller aux détails n'est pas disponible).
8. Cliquez avec le bouton droit sur tous les processus Microsoft Edge et choisissez Fin de tâche.

(Méthode 2)

Avant de poursuivre avec cette méthode, sauvegardez vos données.

1. Accédez à C: Users % username% AppData Local Packages Microsoft.MicrosoftEdge_xxxxxxxxxx.
2. Sélectionnez tous les dossiers, cliquez dessus avec le bouton droit de la souris et appuyez sur Supprimer.
3. Appuyez sur le bouton Démarrer et tapez Windows PowerShell dans la zone de recherche.
4. Cliquez avec le bouton droit sur le résultat et sélectionnez Exécuter en tant qu'administrateur.
5. Dans Administrator: Windows PowerShell, collez Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register $ ($ _. InstallLocation) AppXManifest.xml -Verbose} sous PS C: WINDOWS system32> et appuyez sur Entrée.
6. Le problème devrait être résolu maintenant.

b) Supprimer Warmcookie de Internet Explorer

1. Ouvrez Internet Explorer et appuyez sur l'icône d'engrenage.
2. Sélectionnez Gérer les modules complémentaires, puis Barres d'outils et extensions.
3. Recherchez et désactivez toutes les extensions suspectes.
4. Ferme la fenêtre.

c) Restaurez votre page d'accueil sur Internet Explorer

1. Ouvrez Internet Explorer et appuyez sur l'icône d'engrenage.
2. Options Internet → onglet Général. Supprimez l'URL de la page d'accueil et saisissez votre URL préférée.
3. Appuyez sur Appliquer.

d) Réinitialiser Internet Explorer

1. Ouvrez Internet Explorer et appuyez sur l'icône d'engrenage.
2. Options Internet → onglet Avancé.
3. En bas, vous verrez un bouton de réinitialisation. Appuyez dessus.
4. Dans la fenêtre qui apparaît, cochez la case qui dit Supprimer les paramètres personnels.
5. Appuyez sur Réinitialiser.
6. Cliquez sur OK pour quitter la fenêtre.
7. Redémarrez votre navigateur.

e) Supprimer Warmcookie de Google Chrome

1. Ouvrez Google Chrome et appuyez sur l'icône de menu à droite, à côté du champ URL.
2. Choisissez Plus d'outils et d'extensions.
3. Supprimez les extensions suspectes en cliquant sur l'icône Corbeille à côté d'elles.
4. Si vous n'êtes pas sûr d'une extension, vous pouvez la désactiver en décochant la case indiquant Activé. Si vous décidez par la suite de le conserver, cochez simplement à nouveau la case.

Télécharger outil de suppressionpour supprimer Warmcookie

* WiperSoft scanner, disponible sur ce site, ne fonctionne que comme un outil pour la détection de virus. Plus de données sur WiperSoft. Pour avoir des WiperSoft dans sa pleine capacité, à utiliser la fonctionnalité de suppression, il est nécessaire d’acquérir la version complète. En cas vous voulez désinstaller WiperSoft, cliquez ici.

f) Restaurez votre page d'accueil sur Google Chrome

1. Ouvrez Google Chrome et appuyez sur l'icône de menu à droite, à côté du champ URL.
2. Choisissez Paramètres.
3. Dans la fenêtre qui apparaît, sous Au démarrage, il y aura une option Définir les pages. Appuyez dessus.
4. Supprimez le site Web défini et saisissez celui que vous préférez être votre page d'accueil. Appuyer sur OK.
5. Dans Paramètres, sous Recherche, il existe une option Gérer les moteurs de recherche. Sélectionnez cela.
6. Supprimez tous les moteurs de recherche sauf celui que vous souhaitez utiliser. Cliquez sur Terminé.

g) Réinitialiser Google Chrome

1. Ouvrez Google Chrome et appuyez sur l'icône de menu à droite, à côté du champ URL.
2. Choisissez Paramètres.
3. Faites défiler vers le bas et appuyez sur Afficher les paramètres avancés.
4. Recherchez et appuyez sur le bouton Réinitialiser.
5. Dans la fenêtre de confirmation qui apparaît, appuyez sur Réinitialiser.

h) Supprimer Warmcookie de Mozilla Firefox

1. Ouvrez Mozilla Firefox et accédez au menu en cliquant sur les trois barres à droite de l'écran.
2. Sélectionnez Modules complémentaires.
3. Sélectionnez l'onglet Extensions et supprimez toutes les extensions douteuses.
4. Si vous n'êtes pas sûr d'une extension, vous pouvez la désactiver en cliquant sur Désactiver. Si vous décidez ultérieurement de le conserver, appuyez simplement sur Activer.

i) Restaurez votre page d'accueil sur Mozilla Firefox

1. Ouvrez Mozilla Firefox et accédez au menu en cliquant sur les trois barres sur le côté droit de l'écran.
2. Sélectionnez les options.
3. En général, cliquez sur Restaurer les paramètres par défaut sous le champ Page d'accueil.

j) Réinitialiser Mozilla Firefox

1. Ouvrez Mozilla Firefox et accédez au menu en cliquant sur les trois barres à droite de l'écran.
2. Appuyez sur le point d'interrogation en bas du menu.
3. Sélectionnez Informations de dépannage.
4. Sélectionnez l'option Actualiser Firefox.

k) Supprimer Warmcookie de Safari (pour Mac)

1. Ouvrez Safari.
2. Sélectionnez Préférences (peut être accédé en appuyant sur Safari en haut de votre écran).
3. Choisissez l'onglet Extensions.
4. Désinstallez toutes les extensions douteuses.
5. Si vous n'êtes pas sûr d'une extension, vous pouvez la désactiver en décochant la case indiquant Activé. Si vous décidez par la suite de le conserver, cochez simplement à nouveau la case.

l) Réinitialiser Safari

Si vous utilisez les versions Yosemite, El Capitan ou Sierra, l'option de réinitialisation de Safari en un clic n'est pas disponible. Ainsi, vous devrez effacer l'historique et vider les caches en étapes séparées.

1. Ouvrez Safari.
2. Sélectionnez Effacer l'historique (peut être accédé en appuyant sur Safari en haut de votre écran).
3. Choisissez à partir de quelle heure vous voulez supprimer l'historique et appuyez sur Effacer l'historique.
4. Appuyez sur Safari en haut de l'écran et sélectionnez Préférences.
5. Sélectionnez l'onglet Avancé et cochez la case Afficher le menu Développement dans la barre de menus.
6. Sélectionnez Développer (dans la barre de menus en haut de l'écran).
7. Appuyez sur Vider les caches.

Si, pour une raison quelconque, vous ne parvenez pas à supprimer les extensions ou à réinitialiser votre navigateur, il peut être judicieux de vous procurer un logiciel anti-spyware et de le faire résoudre.