14e98f487bcb81ea810e155c7917d298d4ebbc674c795439a1cfa3775f85a679

General

Target

Fattura di errore.exe
Size

958KB
MD5

6546bd083796d7fa2f20246a4bffc82b
SHA1

06d4a96dae07bf99da76cc57585eae0dca31053c
SHA256

14e98f487bcb81ea810e155c7917d298d4ebbc674c795439a1cfa3775f85a679
SHA512

9da93507ae7c83cf85486dc4dd82f3389088622105e0c9da3c0d436f543f8050b992222efccc335ae66d9ba1db5d99d080d9a07fc70bb7d6522ef22c5ffa2784

Score

3^/10

Malware Config

Signatures

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082
Creates scheduled task(s) 1 TTPs 1 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task
T1053

Processes:

schtasks.exe

pid process

1068 schtasks.exe

pid	process
1068	schtasks.exe

Suspicious behavior: EnumeratesProcesses 7 IoCs

Processes:

Fattura di errore.exe

pid	process
1680	Fattura di errore.exe
1680	Fattura di errore.exe
1680	Fattura di errore.exe
1680	Fattura di errore.exe
1680	Fattura di errore.exe
1680	Fattura di errore.exe
1680	Fattura di errore.exe

Suspicious use of AdjustPrivilegeToken 1 IoCs

Processes:

Fattura di errore.exe

description pid process

Token: SeDebugPrivilege 1680 Fattura di errore.exe

description	pid	process
Token: SeDebugPrivilege	1680	Fattura di errore.exe

Suspicious use of WriteProcessMemory 24 IoCs

Processes:

Fattura di errore.exe

description	pid	process	target process
PID 1680 wrote to memory of 1068	1680	Fattura di errore.exe	schtasks.exe
PID 1680 wrote to memory of 1068	1680	Fattura di errore.exe	schtasks.exe
PID 1680 wrote to memory of 1068	1680	Fattura di errore.exe	schtasks.exe
PID 1680 wrote to memory of 1068	1680	Fattura di errore.exe	schtasks.exe
PID 1680 wrote to memory of 1312	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1312	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1312	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1312	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1056	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1056	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1056	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 1056	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 820	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 820	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 820	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 820	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 924	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 924	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 924	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 924	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 528	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 528	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 528	1680	Fattura di errore.exe	Fattura di errore.exe
PID 1680 wrote to memory of 528	1680	Fattura di errore.exe	Fattura di errore.exe

C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe
"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1680

C:\Windows\SysWOW64\schtasks.exe
"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\ZGxgREWnZ" /XML "C:\Users\Admin\AppData\Local\Temp\tmp95D9.tmp"
2⤵
- Creates scheduled task(s)
PID:1068

C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe
"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"
2⤵
PID:1312

C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe
"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"
2⤵
PID:1056

C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe
"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"
2⤵
PID:820

C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe
"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"
2⤵
PID:924

C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe
"C:\Users\Admin\AppData\Local\Temp\Fattura di errore.exe"
2⤵
PID:528

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Scheduled Task

1

T1053

Persistence

Scheduled Task

1

T1053

Privilege Escalation

Scheduled Task

1

T1053

Defense Evasion

Credential Access

Discovery

System Information Discovery

1

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\tmp95D9.tmp
MD5
79bce9febd0f6ce6ad3f78c44cd9795c

SHA1
47e6bc0dbaa34b83404c41e1412da4cd88af8970

SHA256
d4708ab1abd9f1d2094d8d0dca4d5255ff2aa653fef775f7e3323b2803b79609

SHA512
b209bb906dff78a73473b020da946f41cdd05efb33a3c544083d72dfe756405676437378210597c6860139dabf248b7916790c14ca9a9b3b8c8d6b7263e0094c

Download Submit
memory/1068-66-0x0000000000000000-mapping.dmp

Download
memory/1680-59-0x0000000000320000-0x0000000000321000-memory.dmp

Filesize
4KB

Download
memory/1680-61-0x0000000004DA0000-0x0000000004DA1000-memory.dmp

Filesize
4KB

Download
memory/1680-62-0x0000000000450000-0x0000000000454000-memory.dmp

Filesize
16KB

Download
memory/1680-63-0x000000007EF40000-0x000000007EF41000-memory.dmp

Filesize
4KB

Download
memory/1680-64-0x0000000005CB0000-0x0000000005D53000-memory.dmp

Filesize
652KB

Download
memory/1680-65-0x0000000004580000-0x00000000045DE000-memory.dmp

Filesize
376KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v6

Replay Monitor

Loading Replay Monitor...

Downloads