Questa pagina è dedicata all'educazione delle vittime su cosa fa Warmcookie e sulla sua rimozione. Un grande ringraziamento per i ricercatori sulla sicurezza che hanno reso pubbliche le loro informazioni, inclusi Elastic ed Esentire. Senza l'avviso che hanno dato a tutti non potremmo rivolgerci all'Warmcookie.
C'è una guida alla rimozione di Warmcookie più in basso nella pagina.
Ti invitiamo a leggere il resto dell'articolo in modo da sapere cosa ti sta facendo e come proteggerti da esso. Abbiamo evidenziato in grassetto tutte le informazioni che riteniamo tu debba leggere.
Cos'è Warmcookie?
Warmcookie è un trojan backdoor che recentemente ha suscitato scalpore negli ambienti della sicurezza informatica. È in circolazione almeno dalla fine di aprile 2024, ma ha acquisito notorietà solo ora. Ci sono alcuni tentativi più vecchi e meno raffinati prima di aprile, ma non sono così pericolosi ed è improbabile che tu li incontri.
Download Removal Toolto remove WarmcookieWarmcookie inizia immediatamente a distribuire payload aggiuntivi su un PC infetto, classificandolo come backdoor. In termini più semplici, si tratta di un trojan esistente per infettarti con altro malware, che tenta di scaricare quasi immediatamente. Warmcookie inizia ad acquisire screenshot e a raccogliere tutte le informazioni sensibili che riesce a ottenere appositamente per questi scopi. Ogni 10 secondi circa tenta di inviare i dati raccolti al server dei criminali che determinano con cosa infettarti ulteriormente.
A quel punto non possiamo stabilire gli effetti esatti che Warmcookie avrà sulla tua rete e sul tuo PC poiché questi possono variare a seconda del tipo di dispositivo, sia esso lavorativo o domestico. Ma a differenza dei casi più lievi di trojan, Warmcookie ti monitora già dall'inizio. Ciò significa che, quasi universalmente, un keylogger viene installato dopo le sessioni di ricognizione iniziali del trojan. Da quel momento in poi attiva ulteriori attività dannose che sfruttano le attività pianificate eseguite con privilegi di sistema.
Quanto è pericoloso Warmcookie?
Il danno causato da Warmcookie è significativo. Si rivolge specificamente alle imprese manifatturiere, commerciali e sanitarie, siano esse piccole imprese o reti più grandi. Tali operazioni di malware sono sempre incentrate sull'estrazione di quanto più denaro possibile dalle vittime, quindi Warmcookie tenterà di causare il maggior danno possibile.
Il trojan crittografa le sue stringhe rendendo difficile qualsiasi analisi generica, il che complica ulteriormente le cose. È molto difficile indicare cosa fa esattamente perché nasconde attivamente le sue attività da qualsiasi strumento di sicurezza. È così che riesce a non essere rilevato da Windows Defender e dai programmi anti-malware meno raffinati.
La cosa più pericolosa di Warmcookie è che può ottenere privilegi elevati e sovrascrivere le autorizzazioni dell'utente senza alcun preavviso. Questo accesso gli consente di eseguire comandi con autorizzazione a livello di sistema. Tali minacce sono sempre le più difficili da rimuovere poiché il trojan cerca comunque di nascondersi da te. Anche se trovi i suoi file, ci sarà un periodo generale di paranoia se Warmcookie ti reinfetterà o meno.
Download Removal Toolto remove WarmcookieConsiderando che Warmcookie può fungere da keylogger, ciò è particolarmente preoccupante con implicazioni molto gravi. Ogni tasto premuto, comprese password, numeri di carta di credito e messaggi personali, può essere registrato e inviato all'aggressore. Una tale violazione può rendere i dispositivi di lavoro completamente inutilizzabili poiché non è possibile utilizzare informazioni sensibili su di essi. Se ad esempio l'intera rete ne è infettata, Warmcookie può causare un'enorme perdita di dati.
Gli aggressori possono impersonare le vittime se hanno accesso alle informazioni personali. Immagina uno scenario in cui scopri di avere un nuovo conto bancario, un prestito o di essere collegato a un'altra attività fraudolenta. Non vogliamo spaventarvi ulteriormente con questa affermazione. Vogliamo solo che tu sia consapevole che ti trovi in una situazione grave.
Campagna di distribuzione di Warmcookie
Warmcookie si infiltra nei sistemi attraverso campagne e-mail di phishing fantasiose e convincenti con temi legati al lavoro. In genere questo significa presentarsi come un'azienda di reclutamento che ti invia un collegamento a una pagina di destinazione. Questa pagina, realizzata per sembrare legittima, richiede agli utenti di scaricare un documento dopo aver risolto un CAPTCHA. Questa semplice interazione avvia il download di Warmcookie.
Ad esempio, una di queste email include un allegato PDF che indirizza l'utente a domini come refxsap[.]com (questo è solo un esempio). A seconda della geolocalizzazione dell'utente, questo dominio reindirizza a un payload JavaScript o visualizza una pagina di installazione di TeamViewer. In realtà i download pericolosi sono ospitati su siti Web WordPress compromessi.
Per le persone con una mentalità più tecnica: se apri l'allegato JavaScript, scarica ed esegue un file MSI. Il primo programma di installazione spesso rilascia un file Visual Basic Script (VBS) nella cartella ProgramData/Cis. Questo file contatta il server C2 con il numero di serie della macchina infetta e recupera download aggiuntivi. Lo script quindi entra in un ciclo ogni 9368 millisecondi e tenta ulteriori installazioni.
I file MSI sono solitamente tre per istanza e includono strumenti o script per acquisire screenshot dell'host. Vale a dire, abbiamo notato script AutoHotKey, AutoIt, script Python e i_view32.exe.
La campagna di phishing utilizzata da Warmcookie si chiama Resident e mostra come i criminali informatici sofisticati riescano a superare diverse iterazioni. Warmcookie utilizza i comandi di PowerShell per eseguire script da domini ospitati dall'aggressore. La campagna prende il nome dalla backdoor personalizzata recuperata dalle sessioni con il server di comando e controllo (C2). Utilizza spesso allegati OneDrive falsi che portano a una pagina che ospita il payload JavaScript, fornito tramite download drive-by. Tali download possono anche infettarti con strumenti come il ladro Rhadamanthys.
Learn how to remove Warmcookie from your computer
Step 1. Warmcookie Rimozione da Windows
a) Windows 7 / XP
- Premi sull'icona Start.
- Pannello di controllo → Programmi e funzionalità.
- Trova il programma che desideri eliminare e premi Disinstalla.
b) Windows 8
- Fare clic con il pulsante destro del mouse sull'icona di avvio (angolo inferiore sinistro).
- Seleziona Pannello di controllo.
- Fare clic su Programmi e funzionalità.
- Trova e rimuovi tutti i programmi indesiderati.
c) Windows 10
- Apri il menu Start e fai clic sulla lente di ingrandimento (accanto al pulsante di spegnimento).
- Digita nel Pannello di controllo.
- Pannello di controllo → Programmi e funzionalità.
- Trova e rimuovi tutti i programmi indesiderati.
d) Mac OS X
- Apri Finder e premi Applicazioni.
- Seleziona tutti i programmi sospetti di cui vuoi sbarazzarti.
- Trascinali sull'icona del cestino nel dock (in alternativa, fai clic con il pulsante destro del mouse sul programma e premi Sposta nel cestino).
- Dopo aver spostato tutti i programmi indesiderati, fai clic con il pulsante destro del mouse sull'icona del cestino e seleziona Svuota cestino.
Step 2. Eliminare Warmcookie dal browser
a) Rimuovere Warmcookie da Microsoft Edge
Ripristina Microsoft Edge (metodo 1)
- Apri Microsoft Edge.
- Premi Altro situato nell'angolo in alto a destra dello schermo (i tre punti).
- Impostazioni → Scegli cosa cancellare.
- Seleziona le caselle degli elementi che desideri rimuovere e premi Cancella.
- Premi Ctrl + Alt + Canc insieme.
- Scegli Task Manager.
- Nella scheda Processi, trova il processo Microsoft Edge, fai clic con il pulsante destro del mouse su di esso e premi Vai ai dettagli (o Altri dettagli se Vai ai dettagli non è disponibile).
- Fai clic con il pulsante destro del mouse su tutti i processi di Microsoft Edge e scegli Termina attività.
(Metodo 2)
Prima di procedere con questo metodo, eseguire il backup dei dati.- Vai a C: Users % username% AppData Local Packages Microsoft.MicrosoftEdge_xxxxxxxxxx.
- Seleziona tutte le cartelle, fai clic destro su di esse e premi Elimina.
- Premi il pulsante Start e digita Windows PowerShell nella casella di ricerca.
- Fare clic con il tasto destro sul risultato e selezionare Esegui come amministratore.
- In Amministratore: Windows PowerShell, incolla Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register $ ($ _. InstallLocation) AppXManifest.xml -Verbose} in PS C: WINDOWS system32> e tocca Invio.
- Il problema dovrebbe essere risolto ora.
b) Rimuovi Warmcookie da Internet Explorer
- Apri Internet Explorer e premi sull'icona a forma di ingranaggio.
- Seleziona Gestisci componenti aggiuntivi, quindi Barre degli strumenti ed estensioni.
- Trova e disabilita tutte le estensioni sospette.
- Chiudi la finestra.
c) Ripristina la tua home page su Internet Explorer
- Apri Internet Explorer e premi sull'icona a forma di ingranaggio.
- Opzioni Internet → scheda Generale. Elimina l'URL della home page e digita quello che preferisci.
- Premi Applica.
d) Reimposta Internet Explorer
- Apri Internet Explorer e premi sull'icona a forma di ingranaggio.
- Opzioni Internet → scheda Avanzate.
- In basso, vedrai un pulsante Ripristina. Premilo.
- Nella finestra che appare, seleziona la casella che dice Elimina impostazioni personali.
- Premere Ripristina.
- Fare clic su OK per uscire dalla finestra.
- Riavvia il tuo browser.
e) Rimuovi Warmcookie da Google Chrome
- Apri Google Chrome e premi l'icona del menu a destra, accanto al campo dell'URL.
- Scegli Altri strumenti ed estensioni.
- Rimuovi le estensioni sospette facendo clic sull'icona Cestino accanto ad esse.
- Se non sei sicuro di un'estensione, puoi disabilitarla deselezionando la casella che dice Abilitato. Se in seguito decidi di mantenerlo, seleziona di nuovo la casella.
f) Ripristina la tua home page su Google Chrome
- Apri Google Chrome e premi l'icona del menu a destra, accanto al campo URL.
- Scegli Impostazioni.
- Nella finestra che appare, sotto All'avvio, ci sarà un'opzione Imposta pagine. Premi su quello.
- Rimuovi il sito Web impostato e digita quello che preferisci sia la tua home page. Premere OK.
- In Impostazioni, sotto Ricerca, c'è un'opzione Gestisci motori di ricerca. Seleziona quello.
- Rimuovi tutti i motori di ricerca tranne quello che desideri utilizzare. Fare clic su Fine.
g) Reimposta Google Chrome
- Apri Google Chrome e premi l'icona del menu a destra, accanto al campo dell'URL.
- Scegli Impostazioni.
- Scorri verso il basso e premi Mostra impostazioni avanzate.
- Trova e premi il pulsante Ripristina.
- Nella finestra di conferma visualizzata, premere Ripristina.
h) Rimuovere Warmcookie da Mozilla Firefox
- Apri Mozilla Firefox e accedi al menu facendo clic sulle tre barre a destra dello schermo.
- Seleziona Componenti aggiuntivi.
- Seleziona la scheda Estensioni e rimuovi tutte le estensioni discutibili.
- Se non sei sicuro di un'estensione, puoi disabilitarla facendo clic su Disabilita. Se in seguito decidi di mantenerlo, premi semplicemente Abilita.
i) Ripristina la tua home page su Mozilla Firefox
- Apri Mozilla Firefox e accedi al menu facendo clic sulle tre barre sul lato destro dello schermo.
- Seleziona Opzioni.
- In generale, fare clic su Ripristina impostazioni predefinite sotto il campo Pagina iniziale.
j) Ripristina Mozilla Firefox
- Apri Mozilla Firefox e accedi al menu facendo clic sulle tre barre a destra dello schermo.
- Premi il punto interrogativo nella parte inferiore del menu.
- Seleziona Informazioni sulla risoluzione dei problemi.
- Seleziona l'opzione Aggiorna Firefox.
k) Rimuovere Warmcookie da Safari (per Mac)
- Apri Safari.
- Seleziona Preferenze (puoi accedervi premendo su Safari nella parte superiore dello schermo).
- Scegli la scheda Estensioni.
- Disinstalla tutte le estensioni discutibili.
- Se non sei sicuro di un'estensione, puoi disabilitarla deselezionando la casella che dice Abilitato. Se in seguito decidi di mantenerlo, seleziona di nuovo la casella.
l) Ripristina Safari
Se stai usando le versioni Yosemite, El Capitan o Sierra, l'opzione per ripristinare Safari con un clic non è disponibile. Quindi dovrai cancellare la cronologia e svuotare le cache in passaggi separati.- Apri Safari.
- Seleziona Cancella cronologia (puoi accedervi premendo su Safari nella parte superiore dello schermo).
- Scegli da che ora desideri eliminare la cronologia e premi Cancella cronologia.
- Premi su Safari nella parte superiore dello schermo e seleziona Preferenze.
- Seleziona la scheda Avanzate e seleziona la casella accanto a Mostra menu Sviluppo nella barra dei menu.
- Seleziona Sviluppo (dalla barra dei menu nella parte superiore dello schermo).
- Premere Svuota cache.