Manuel Statik Analiz — WarmCookie | Tehdit: MITTEL
Datei Kimliği
| SHA256 | ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dateiname | Invoice 250288895_001.zip → 0288895-001-4031394-5629578.js (3.7MB) |
| Größe | 1.368.374 byte ZIP → 3.754.757 byte JS payload |
| String Sayisi | 9.261 |
Fatura Lure: Invoice 250288895_001.zip
Invoice 250288895_001.zip -- "Invoice" = Fatura (İngilizce) -- "250288895_001" = gerçek fatura numarasına benzer çok hane -- .zip → içinde .js dosyası → Double Extension tuzağı -- Finans/muhasebe çalışanları hedefleniyor
3.7MB Obfuskated JavaScript Payload
0288895-001-4031394-5629578.js (3.754.757 byte) -- Devasa JavaScript dosyası: 3.7MB -- Office JavaScript API gömülü: "Office JavaScript API library" -- Office Web Add-in veya Outlook/Excel makro kılığı -- Obfuskasyon: değişken isimleri anlamlı cümlelerden türetilmiş: ust_be_20_Section_83_on_page_340_European_Continent_Alongside_desk_research_to_collec → gerçek bir hukuk belgesi / araştırma metninden alınmış! (imza kaçınma) -- Bu teknik: anlamlı string → AV imzaları "belge metni" sanıyor
IOC
| SHA256 | ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Invoice 250288895_001.zip → 3.7MB JS |
Warmcookie — Malware-Profil
WarmCookie 2023 backdoor. Invoice ZIP lure. Office JS API 3.7MB payload. JS obfuscation anlamli degisken isimleri. TA569.
Malware-Typ
Loader
Programmiersprache
JavaScript
C2-Protokoll
HTTPS
Zielsysteme
Küresel Kurumsal
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — Warmcookie
# SHA256
ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |