68527014856bd500a522a073f6aa516a0afa39ceca0753eca03db7fbdfb8153b

General

Target

Mensaje SWIFT.exe
Size

1.6MB
MD5

e33828622c9d953e1e5ad7a3b16d2b77
SHA1

c15e6c76cc4448a4f27ade1a70c4aaf2486503e6
SHA256

2f05200e09f38d2197fb48d265bcd4d050131f688ce51cf86478192df100d675
SHA512

903e518f4b481c13a10eef062a0499c72ff810dd1a3f0dad620cb5fa4b5b6cb244db999d09f7813e020b4fb24c54522f067903c60829d0f7f6c3a1c7a492d86f

Score

8^/10

upx

Malware Config

Signatures

Executes dropped EXE 1 IoCs

Processes:

Mensaje SWIFTmgr.exe

pid process

1724 Mensaje SWIFTmgr.exe

UPX packed file 4 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe	upx
\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe	upx
C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe	upx
behavioral1/memory/1724-59-0x0000000000400000-0x000000000045D000-memory.dmp	upx

Drops startup file 1 IoCs

Processes:

Mensaje SWIFT.exe

description	ioc	process
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicrosoftEdgeBCHost.url	Mensaje SWIFT.exe

Loads dropped DLL 2 IoCs

Processes:

Mensaje SWIFT.exe

pid process

1472 Mensaje SWIFT.exe
1472 Mensaje SWIFT.exe

Modifies Internet Explorer settings 1 TTPs 53 IoCs

adware spyware

Modify Registry

T1112

Processes:

iexplore.exeiexplore.exeIEXPLORE.EXEIEXPLORE.EXE

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\CompatibilityFlags = "0"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\GPU	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\IntelliForms	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive\{409C31F0-CF34-11EC-A5C5-C6DEEDF3EE1E} = "0"	iexplore.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version = "WS not running"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\GPU	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery\AdminActive = "0"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\InternetRegistry	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\InternetRegistry	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive\{409C0AE0-CF34-11EC-A5C5-C6DEEDF3EE1E} = "0"	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery\AdminActive = "1"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery	iexplore.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\Window_Placement = 2c0000000200000003000000ffffffffffffffffffffffffffffffff3d0000003d000000c3040000a2020000	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\BrowserEmulation\LowMic	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\LowRegistry	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\NextUpdateDate = "358823381"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\IntelliForms	iexplore.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\FullScreen = "no"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\PageSetup	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\FileNames\	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\PageSetup	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Zoom	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\LowRegistry	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\DomainSuggestion	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main	iexplore.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\FullScreen = "no"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\FileNames	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Toolbar	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Toolbar	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\IETld\LowMic	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Zoom	iexplore.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version = "WS not running"	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery\AdminActive = "1"	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\CompatibilityFlags = "0"	iexplore.exe
Set value (data)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main\Window_Placement = 2c0000000200000003000000ffffffffffffffffffffffffffffffff2400000024000000aa04000089020000	iexplore.exe
Set value (int)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery\AdminActive = "0"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Main	IEXPLORE.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\FileNames\en-US = "en-US.1"	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\IETld\LowMic	iexplore.exe
Key created	\REGISTRY\USER\S-1-5-21-790309383-526510583-3802439154-1000\Software\Microsoft\Internet Explorer\BrowserEmulation\LowMic	iexplore.exe

Suspicious behavior: EnumeratesProcesses 8 IoCs

Processes:

Mensaje SWIFTmgr.exe

pid	process
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe
1724	Mensaje SWIFTmgr.exe

Suspicious behavior: MapViewOfSection 64 IoCs

Processes:

Mensaje SWIFT.exe

pid	process
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe
1472	Mensaje SWIFT.exe

Suspicious use of AdjustPrivilegeToken 1 IoCs

Processes:

Mensaje SWIFTmgr.exe

description pid process

Token: SeDebugPrivilege 1724 Mensaje SWIFTmgr.exe
Suspicious use of FindShellTrayWindow 5 IoCs

Processes:

Mensaje SWIFT.exeiexplore.exeiexplore.exe

pid process

1472 Mensaje SWIFT.exe
1472 Mensaje SWIFT.exe
1472 Mensaje SWIFT.exe
1320 iexplore.exe
840 iexplore.exe
Suspicious use of SendNotifyMessage 3 IoCs

Processes:

Mensaje SWIFT.exe

pid process

1472 Mensaje SWIFT.exe
1472 Mensaje SWIFT.exe
1472 Mensaje SWIFT.exe

description	pid	process
Token: SeDebugPrivilege	1724	Mensaje SWIFTmgr.exe

Suspicious use of SetWindowsHookEx 10 IoCs

Processes:

iexplore.exeiexplore.exeIEXPLORE.EXEIEXPLORE.EXE

pid	process
840	iexplore.exe
1320	iexplore.exe
840	iexplore.exe
1320	iexplore.exe
2416	IEXPLORE.EXE
2408	IEXPLORE.EXE
2416	IEXPLORE.EXE
2408	IEXPLORE.EXE
2416	IEXPLORE.EXE
2416	IEXPLORE.EXE

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

Mensaje SWIFT.exeMensaje SWIFTmgr.exe

description	pid	process	target process
PID 1472 wrote to memory of 1724	1472	Mensaje SWIFT.exe	Mensaje SWIFTmgr.exe
PID 1472 wrote to memory of 1724	1472	Mensaje SWIFT.exe	Mensaje SWIFTmgr.exe
PID 1472 wrote to memory of 1724	1472	Mensaje SWIFT.exe	Mensaje SWIFTmgr.exe
PID 1472 wrote to memory of 1724	1472	Mensaje SWIFT.exe	Mensaje SWIFTmgr.exe
PID 1724 wrote to memory of 840	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 840	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 840	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 840	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 1320	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 1320	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 1320	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1724 wrote to memory of 1320	1724	Mensaje SWIFTmgr.exe	iexplore.exe
PID 1472 wrote to memory of 960	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 960	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 960	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 960	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1828	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1828	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1828	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1828	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1804	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1804	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1804	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1804	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1732	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1732	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1732	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1732	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1160	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1160	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1160	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1160	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1856	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1856	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1856	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1856	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1836	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1836	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1836	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1836	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1832	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1832	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1832	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1832	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1824	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1824	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1824	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1824	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1920	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1920	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1920	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1920	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 600	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 600	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 600	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 600	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 940	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 940	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 940	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 940	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1664	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1664	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1664	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe
PID 1472 wrote to memory of 1664	1472	Mensaje SWIFT.exe	Mensaje SWIFT.exe

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
1⤵
- Drops startup file
- Loads dropped DLL
- Suspicious behavior: MapViewOfSection
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
- Suspicious use of WriteProcessMemory
PID:1472

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe"
2⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1724

C:\Program Files\Internet Explorer\iexplore.exe
"C:\Program Files\Internet Explorer\iexplore.exe"
3⤵
- Modifies Internet Explorer settings
- Suspicious use of FindShellTrayWindow
- Suspicious use of SetWindowsHookEx
PID:840

C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:840 CREDAT:275457 /prefetch:2
4⤵
- Modifies Internet Explorer settings
- Suspicious use of SetWindowsHookEx
PID:2408

C:\Program Files\Internet Explorer\iexplore.exe
"C:\Program Files\Internet Explorer\iexplore.exe"
3⤵
- Modifies Internet Explorer settings
- Suspicious use of FindShellTrayWindow
- Suspicious use of SetWindowsHookEx
PID:1320

C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1320 CREDAT:275457 /prefetch:2
4⤵
- Modifies Internet Explorer settings
- Suspicious use of SetWindowsHookEx
PID:2416

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:960

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1828

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1804

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1732

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1160

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1856

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1836

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1832

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1824

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1920

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:600

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:940

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1664

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1840

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:936

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:900

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:888

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:812

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:656

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1168

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:688

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:468

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:428

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:268

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1668

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1020

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1036

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1552

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1632

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1816

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:324

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:816

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1996

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:992

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1960

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1948

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1808

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1976

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:956

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1708

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1096

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:744

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1512

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:112

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:592

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:556

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:908

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:620

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:544

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1492

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2032

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1348

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2020

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1752

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1152

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1636

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1388

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:364

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1704

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1392

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:916

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1324

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1312

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1280

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1488

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1344

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1620

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1624

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1596

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2080

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2072

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2064

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2056

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:952

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:1164

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2088

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2096

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2104

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2132

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2120

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2112

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2140

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2148

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2156

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2164

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2172

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2180

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2188

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2196

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2204

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2212

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2220

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2228

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2236

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2244

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2260

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2252

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2284

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2276

C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe
"C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFT.exe"
2⤵
PID:2268

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{409C0AE0-CF34-11EC-A5C5-C6DEEDF3EE1E}.dat
Filesize
4KB

MD5
33279f4692620851dc6d107720a84dc5

SHA1
4cb99cad1afd06c043662a348478224d90a7aabf

SHA256
45fcc81e31cc6489d760752f21de0a85c16eac0d54b689bc074e82d7b4a37f87

SHA512
dfe7cc7dbd9974855a4ea944a115e623361d869396fda7c2bbca9b55cf22f2f03601e425baf3419f9a457c887e46a388204a1d30fae55fc89fc928fa27eb64f3

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{409C31F0-CF34-11EC-A5C5-C6DEEDF3EE1E}.dat
Filesize
3KB

MD5
3aa423a63e98977c4d669d01eb29dbde

SHA1
5646930578fb7f2db77a6a7438ddafae0f87633e

SHA256
f889c59b062114ec52aab11a946162b906a4cca06735908b9f6c794411874443

SHA512
5147223b743d5c27024ac1f10f11c64ad705573dabbfbe38f025da4ab507a7a5e77136efdeb71a3282c8a972168b3f932a1948716869abd831b216f32d49035a

Download Submit
C:\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe
Filesize
105KB

MD5
d5ca6e1f080abc64bbb11e098acbeabb

SHA1
1849634bf5a65e1baddddd4452c99dfa003e2647

SHA256
30193b5ccf8a1834eac3502ef165350ab74b107451145f3d2937fdf24b9eceae

SHA512
aa57ce51de38af6212d7339c4baac543a54b0f527621b0ef9e78eca5e5699e8508a154f54f8ac04135527d8417275eeee72a502a362547575699330cc756b161

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Cookies\IB6WHWA1.txt
Filesize
599B

MD5
711690500e49a34a539e2d37e17a863c

SHA1
3a182d2bd81c6790d9458ee5bd3a029d9b2692a3

SHA256
be1712408bfebd738322040a2fad7db15aaecf9cb1bd48118adf757cd9aafad6

SHA512
0334e06a688427bf4bc9ee15e592a09f7baacf60446227e817096a7df1a9c6ba2b8c00b7e7aa49058b29169a5157f0f29e625a96a3097be8e084bc53b4c85821

Download Submit
\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe
Filesize
105KB

MD5
d5ca6e1f080abc64bbb11e098acbeabb

SHA1
1849634bf5a65e1baddddd4452c99dfa003e2647

SHA256
30193b5ccf8a1834eac3502ef165350ab74b107451145f3d2937fdf24b9eceae

SHA512
aa57ce51de38af6212d7339c4baac543a54b0f527621b0ef9e78eca5e5699e8508a154f54f8ac04135527d8417275eeee72a502a362547575699330cc756b161

Download Submit
\Users\Admin\AppData\Local\Temp\Mensaje SWIFTmgr.exe
Filesize
105KB

MD5
d5ca6e1f080abc64bbb11e098acbeabb

SHA1
1849634bf5a65e1baddddd4452c99dfa003e2647

SHA256
30193b5ccf8a1834eac3502ef165350ab74b107451145f3d2937fdf24b9eceae

SHA512
aa57ce51de38af6212d7339c4baac543a54b0f527621b0ef9e78eca5e5699e8508a154f54f8ac04135527d8417275eeee72a502a362547575699330cc756b161

Download Submit
memory/1472-54-0x0000000074F21000-0x0000000074F23000-memory.dmp

Filesize
8KB

Download
memory/1472-60-0x0000000000430000-0x000000000045D000-memory.dmp

Filesize
180KB

Download
memory/1472-61-0x0000000000260000-0x0000000000263000-memory.dmp

Filesize
12KB

Download
memory/1724-57-0x0000000000000000-mapping.dmp

Download
memory/1724-59-0x0000000000400000-0x000000000045D000-memory.dmp

Filesize
372KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v6

Replay Monitor

Loading Replay Monitor...

Downloads