WarmCookie (также называемый BadSpace) - это бэкдор, способный выполнять команды, читать/записывать файлы и делать скриншоты. Он связывается с командно-контрольным (C&C) сервером по протоколу HTTP для получения дальнейших инструкций и утечки украденных данных. Обычно он распространяется через фишинговые кампании и вредоносные загрузки, нацеленные на ничего не подозревающих пользователей, чтобы проникнуть в систему незамеченным.
Indicators of Compromise
URLs
- http://72.5.43.29/
- http://72.5.43.29/data/e93629b052f25d25c92a4afaee51cc81
- https://assistance.cupdatenewsthisinfo.com/assistance?Oyg=xpMUJ&KXq=UKiuahdvb&sourceRI=gROQPeoSn&iqcontent=ZAQAIV&MA_cid=5243030&CO=1972462
- https://chrome.checkfedexexp.com/data-privacy?rOy=ItdXZQ&uTc=oWVKUKxDZ&sourcelN=uyJcs&Pkcontent=YJzJvGndl&qv_cid=6358959&Yn=8813337
- https://financial.cupdatenewsthisinfo.com/sales?Yd=ae848059910732bdf4b5f362f8ad7fb0be63
- https://portals.checkfedexexp.com/documents?28f3c0c77f76899be4c6&medium=AUWRX&FXvk=326828c5ba7db1a8-8da5e6f8-aa891249-9a965b67-679dddc905f6c920738f2e&FA=67cd8d9486c68d6ea6dae8bcc72e43b81d07
SHA256
- 2b504adfdf6c68889eae2207454ce4b647f31107c294106db597d3d29ad03ac3
- 87f57a7a4b4c83ecb3cdd5f274c95cd452c703de604f68aff6e59964b662e3f8
- 91ab50b8c120a34eaed447e6b72355b97907fc51361174977c9fd13e590a8aa3
- ab57c866e03cd462c01420332c138d20007959e7c3dc2e97b7ceac3bafabe7c5
- af4771a3e44783b16d1b3b920ef402bbcd76249913a23df4f491cc983237fd77
- bf5946578933837cd7827cd657c00d80a7951cc223778c43ae96c709c304ff77
- c6c777beb38120497e6b26fea8f376652eafb5b661c65a87265421dc83f61121
- f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659
