5cef7b54bb4dd691351bb3cec21a8c4e8e0ab9a002f41dda1631f3ade40e0df5

General

Target

bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
Size

168KB
MD5

60e3cb5dd482ce771d0e5c6576a8269c
SHA1

33573fa6ad2ac27d48bd3ef1f84739449ec4b682
SHA256

37d254df44c84c208156c066068f2397e57413affd480a80dc01d0b2eb0cbb31
SHA512

bf2fab79ed0dd3fe763f6e2a0b809454536a5335ef29ebea40d562f2b745d695489d9d3039ab0f79b9f982863bfa0a266996c827b2338712f61965077e65eaa8
SSDEEP

3072:CdLyZlwEyKcoO29Y5eCPN2bViTphJP12EFs+NLVgu2TVAOWX:sLaw7F3CY5e+CVi/yEXlVh2hk

Score

7^/10

persistence

Malware Config

Signatures

Deletes itself 1 IoCs

Processes:

cmd.exe

pid process

752 cmd.exe

pid	process
752	cmd.exe

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

Processes:

Explorer.EXE

description	ioc	process
Key created	\REGISTRY\USER\S-1-5-21-575491160-2295418218-1540667289-1000\Software\Microsoft\Windows\CurrentVersion\Run	Explorer.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-575491160-2295418218-1540667289-1000\Software\Microsoft\Windows\CurrentVersion\Run\uhbkhryw.exe = "\"C:\\Users\\Admin\\AppData\\Roaming\\Identities\\uhbkhryw.exe\""	Explorer.EXE

Suspicious use of SetThreadContext 1 IoCs

Processes:

bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe

description	pid	process	target process
PID 1704 set thread context of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe

Suspicious behavior: EnumeratesProcesses 17 IoCs

Processes:

bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exebestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exeExplorer.EXE

pid	process
1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE
1212	Explorer.EXE

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

Explorer.EXE

pid process

1212 Explorer.EXE

pid	process
1212	Explorer.EXE

Suspicious use of AdjustPrivilegeToken 3 IoCs

Processes:

bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exeExplorer.EXE

description	pid	process
Token: SeDebugPrivilege	2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
Token: SeDebugPrivilege	1212	Explorer.EXE
Token: SeShutdownPrivilege	1212	Explorer.EXE

Suspicious use of FindShellTrayWindow 2 IoCs

Processes:

Explorer.EXE

pid process

1212 Explorer.EXE
1212 Explorer.EXE
Suspicious use of SendNotifyMessage 2 IoCs

Processes:

Explorer.EXE

pid process

1212 Explorer.EXE
1212 Explorer.EXE

pid	process
1212	Explorer.EXE
1212	Explorer.EXE

pid	process
1212	Explorer.EXE
1212	Explorer.EXE

Suspicious use of SetWindowsHookEx 2 IoCs

Processes:

bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe

pid	process
1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe

Suspicious use of UnmapMainImage 1 IoCs

Processes:

Explorer.EXE

pid process

1212 Explorer.EXE

pid	process
1212	Explorer.EXE

Suspicious use of WriteProcessMemory 22 IoCs

Processes:

bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exebestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exeExplorer.EXE

description	pid	process	target process
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1704 wrote to memory of 2036	1704	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 2036 wrote to memory of 752	2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	cmd.exe
PID 2036 wrote to memory of 752	2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	cmd.exe
PID 2036 wrote to memory of 752	2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	cmd.exe
PID 2036 wrote to memory of 752	2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	cmd.exe
PID 2036 wrote to memory of 1212	2036	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe	Explorer.EXE
PID 1212 wrote to memory of 1112	1212	Explorer.EXE	taskhost.exe
PID 1212 wrote to memory of 1180	1212	Explorer.EXE	Dwm.exe
PID 1212 wrote to memory of 2036	1212	Explorer.EXE	bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
PID 1212 wrote to memory of 752	1212	Explorer.EXE	cmd.exe
PID 1212 wrote to memory of 752	1212	Explorer.EXE	cmd.exe
PID 1212 wrote to memory of 1516	1212	Explorer.EXE	conhost.exe
PID 1212 wrote to memory of 1516	1212	Explorer.EXE	conhost.exe

C:\Windows\system32\taskhost.exe
"taskhost.exe"
1⤵
PID:1112

C:\Windows\Explorer.EXE
C:\Windows\Explorer.EXE
1⤵
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
- Suspicious use of UnmapMainImage
- Suspicious use of WriteProcessMemory
PID:1212

C:\Users\Admin\AppData\Local\Temp\bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
"C:\Users\Admin\AppData\Local\Temp\bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe"
2⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1704

C:\Users\Admin\AppData\Local\Temp\bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
C:\Users\Admin\AppData\Local\Temp\bestätigung_zahlungseingang_2014_11_55_02_277_001_033_927_0983900005_0000009127_01_20.exe
3⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\system32\cmd.exe" /c "C:\Users\Admin\AppData\Roaming\MS9522~1.BAT"
4⤵
- Deletes itself
PID:752

C:\Windows\system32\Dwm.exe
"C:\Windows\system32\Dwm.exe"
1⤵
PID:1180

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-12896176651175258002-1942813664-91706573920120600132012377296-780567567175020062"
1⤵
PID:1516

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Registry Run Keys / Startup Folder

1

T1060

Privilege Escalation

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Roaming\ms9522115.bat

Filesize
201B

MD5
44332bd3cfe93b2ff1ab3df08a4d4e30

SHA1
efb995957ed18788c7bfde79fb6304b2eceeaae0

SHA256
9e8bd21138a9eb0370782b2b67557910f10dcdb60e9e8625c9e88bddc7048112

SHA512
70160e7d9ac807e5a0410d28e6a2e816503c46b9537d30ac46d3acd1a5fe5caa6ba4b661b8e81bf8aba4e2de1f6df28b5f11b28ffc817ddeaefcacab4a267ce5

Download Submit
memory/752-71-0x0000000000000000-mapping.dmp

Download
memory/1112-95-0x0000000001B80000-0x0000000001B97000-memory.dmp

Filesize
92KB

Download
memory/1112-90-0x00000000376C0000-0x00000000376D0000-memory.dmp

Filesize
64KB

Download
memory/1180-91-0x00000000376C0000-0x00000000376D0000-memory.dmp

Filesize
64KB

Download
memory/1180-97-0x00000000001B0000-0x00000000001C7000-memory.dmp

Filesize
92KB

Download
memory/1212-96-0x0000000002720000-0x0000000002737000-memory.dmp

Filesize
92KB

Download
memory/1212-72-0x0000000002720000-0x0000000002737000-memory.dmp

Filesize
92KB

Download
memory/1212-75-0x00000000376C0000-0x00000000376D0000-memory.dmp

Filesize
64KB

Download
memory/1516-94-0x0000000000060000-0x0000000000077000-memory.dmp

Filesize
92KB

Download
memory/1516-93-0x00000000376C0000-0x00000000376D0000-memory.dmp

Filesize
64KB

Download
memory/1704-54-0x0000000075591000-0x0000000075593000-memory.dmp

Filesize
8KB

Download
memory/1704-65-0x00000000002F0000-0x00000000002F4000-memory.dmp

Filesize
16KB

Download
memory/2036-74-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-80-0x00000000002F0000-0x0000000000304000-memory.dmp

Filesize
80KB

Download
memory/2036-62-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-58-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-56-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-60-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-67-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-55-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download
memory/2036-64-0x00000000004010C0-mapping.dmp

Download
memory/2036-63-0x0000000000400000-0x0000000000412000-memory.dmp

Filesize
72KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads