Analysis
-
max time kernel
122s -
max time network
130s -
platform
windows7_x64 -
resource
win7-en-20211014 -
submitted
21-10-2021 10:37
Static task
static1
Behavioral task
behavioral1
Sample
FREWITT Auftragsbestätigung-5309,pdf.exe
Resource
win7-en-20211014
windows7_x64
0 signatures
0 seconds
Behavioral task
behavioral2
Sample
FREWITT Auftragsbestätigung-5309,pdf.exe
Resource
win10-en-20210920
windows10_x64
0 signatures
0 seconds
General
-
Target
FREWITT Auftragsbestätigung-5309,pdf.exe
-
Size
973KB
-
MD5
2ad5ffbc1c617702149481d5d5129e47
-
SHA1
96fae5b9e9f0ab3a98422e2e8c2b4e95c3746976
-
SHA256
583dd77ec5f198782e75d7c7286fabb741051c88e32b862dfad56f9b2f46bf0d
-
SHA512
746728216bebbdb221109317c99cace0c60892ab1d7a07953782e165cf63be1eeafcca8825ad2a23769dccb2cb538dd541d507a6c9d0602b78a2440ca5212f2a
Score
6/10
Malware Config
Signatures
-
Adds Run key to start application 2 TTPs 1 IoCs
Processes:
FREWITT Auftragsbestätigung-5309,pdf.exedescription ioc process Set value (str) \REGISTRY\USER\S-1-5-21-2955169046-2371869340-1800780948-1000\Software\Microsoft\Windows\CurrentVersion\Run\Jqwmfc = "C:\\Users\\Public\\cfmwqJ.url" FREWITT Auftragsbestätigung-5309,pdf.exe -
Suspicious use of WriteProcessMemory 7 IoCs
Processes:
FREWITT Auftragsbestätigung-5309,pdf.exedescription pid process target process PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe PID 1772 wrote to memory of 828 1772 FREWITT Auftragsbestätigung-5309,pdf.exe logagent.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\FREWITT Auftragsbestätigung-5309,pdf.exe"C:\Users\Admin\AppData\Local\Temp\FREWITT Auftragsbestätigung-5309,pdf.exe"1⤵
- Adds Run key to start application
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\logagent.exeC:\Windows\System32\logagent.exe2⤵
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/828-58-0x0000000000080000-0x0000000000081000-memory.dmpFilesize
4KB
-
memory/828-59-0x0000000000000000-mapping.dmp
-
memory/828-63-0x0000000000080000-0x0000000000081000-memory.dmpFilesize
4KB
-
memory/1772-55-0x00000000001D1000-0x00000000001E5000-memory.dmpFilesize
80KB
-
memory/1772-56-0x00000000001B0000-0x00000000001B1000-memory.dmpFilesize
4KB
-
memory/1772-57-0x0000000075F41000-0x0000000075F43000-memory.dmpFilesize
8KB