87fbcaaa029236f3a6b7de6cd8dbbd811804e0b26142c1395b0e9e84f57aaaed

General

Target

Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
Size

59KB
MD5

0700f3bffdbbf5ecc2a9c63f8b3742a8
SHA1

38344723d174f57f736cbc82accbfb632b778f8a
SHA256

87fbcaaa029236f3a6b7de6cd8dbbd811804e0b26142c1395b0e9e84f57aaaed
SHA512

1a7cb6205cc15d354f89f55e999cdb6c5f609866b417bcabf7437955f4562c994e9bdf0860ce67d6e3999a9771701a670f862d8c3d6f7cef8f743f2be0062b21

Score

7^/10

spyware stealer

Malware Config

Signatures

Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
spyware stealer

Data from Local System
T1005

Credentials in Files
T1081

Drops file in System32 directory 6 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\MSDRM\MsoIrmProtector.xlsXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File opened for modification	C:\Windows\SysWOW64\MSDRM\MsoIrmProtector.xlsXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\SysWOW64\MSDRM\MsoIrmProtector.xlsXJJXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\SysWOW64\MSDRM\MsoIrmProtector.docXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File opened for modification	C:\Windows\SysWOW64\MSDRM\MsoIrmProtector.docXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\SysWOW64\MSDRM\MsoIrmProtector.docXJJXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe

Drops file in Program Files directory 6 IoCs

description	ioc	Process
File created	C:\Program Files\Microsoft Office\root\Office16\1033\PROTTPLV.DOCXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Program Files\Microsoft Office\root\Office16\1033\PROTTPLN.XLSXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Program Files\Microsoft Office\root\Office16\1033\PROTTPLV.XLSXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Program Files\Microsoft Office\root\Office16\SAMPLES\SOLVSAMP.XLSXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Program Files\Microsoft Office\root\vfs\Windows\SHELLNEW\EXCEL12.XLSXXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Program Files\Microsoft Office\root\Office16\1033\PROTTPLN.DOCXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe

Drops file in Windows directory 8 IoCs

description	ioc	Process
File created	C:\Windows\WinSxS\amd64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.1_none_c3bc3dbd94da3c61\MsoIrmProtector.docXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.746_none_ebc47b06544bfaab\MsoIrmProtector.docXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\wow64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.1_none_ce10e80fc93afe5c\MsoIrmProtector.docXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\wow64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.746_none_f619255888acbca6\MsoIrmProtector.docXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.1_none_c3bc3dbd94da3c61\MsoIrmProtector.xlsXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.746_none_ebc47b06544bfaab\MsoIrmProtector.xlsXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\wow64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.1_none_ce10e80fc93afe5c\MsoIrmProtector.xlsXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
File created	C:\Windows\WinSxS\wow64_microsoft-windows-r..t-office-protectors_31bf3856ad364e35_10.0.19041.746_none_f619255888acbca6\MsoIrmProtector.xlsXJJ	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
3856	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
3856	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe

Suspicious use of AdjustPrivilegeToken 1 IoCs

description	pid	Process
Token: SeDebugPrivilege	3856	Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe

C:\Users\Admin\AppData\Local\Temp\Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe
"C:\Users\Admin\AppData\Local\Temp\Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe"
1⤵
- Drops file in System32 directory
- Drops file in Program Files directory
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3856

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Credentials in Files

1

T1081

Discovery

Lateral Movement

Collection

Data from Local System

1

T1005

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/3856-130-0x00000000748F0000-0x0000000074EA1000-memory.dmp

Filesize
5.7MB

Download
memory/3856-131-0x00000000748F0000-0x0000000074EA1000-memory.dmp

Filesize
5.7MB

Download

Resubmissions

Analysis

Sharing