Manuel Statik Analiz — WarmCookie | Tehdit: MITTEL

Datei Kimliği

SHA256ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
DateinameInvoice 250288895_001.zip → 0288895-001-4031394-5629578.js (3.7MB)
Größe1.368.374 byte ZIP → 3.754.757 byte JS payload
String Sayisi9.261

Fatura Lure: Invoice 250288895_001.zip

Invoice 250288895_001.zip
-- "Invoice" = Fatura (İngilizce)
-- "250288895_001" = gerçek fatura numarasına benzer çok hane
-- .zip → içinde .js dosyası → Double Extension tuzağı
-- Finans/muhasebe çalışanları hedefleniyor

3.7MB Obfuskated JavaScript Payload

0288895-001-4031394-5629578.js (3.754.757 byte)
-- Devasa JavaScript dosyası: 3.7MB
-- Office JavaScript API gömülü: "Office JavaScript API library"
-- Office Web Add-in veya Outlook/Excel makro kılığı
-- Obfuskasyon: değişken isimleri anlamlı cümlelerden türetilmiş:
   ust_be_20_Section_83_on_page_340_European_Continent_Alongside_desk_research_to_collec
   → gerçek bir hukuk belgesi / araştırma metninden alınmış! (imza kaçınma)
-- Bu teknik: anlamlı string → AV imzaları "belge metni" sanıyor

IOC

SHA256ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureInvoice 250288895_001.zip → 3.7MB JS

Warmcookie — Malware-Profil

WarmCookie 2023 backdoor. Invoice ZIP lure. Office JS API 3.7MB payload. JS obfuscation anlamli degisken isimleri. TA569.

Malware-Typ
Loader
Programmiersprache
JavaScript
C2-Protokoll
HTTPS
Zielsysteme
Küresel Kurumsal

Fähigkeiten & Verhalten

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC-Liste (1 Indikatoren)

IOC — Warmcookie
# SHA256 ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypWertBemerkung
sha256 ab57c866e03cd4621368374b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
warmcookieinvoice-250288895-zipobfuscated-office-js3-7mb-js-payloadust-be-20-section-variablesoffice-js-apijs-obfuscationfatura-lure