Analysis

  • max time kernel
    173s
  • max time network
    183s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20231215-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
  • submitted
    29-12-2023 22:42

General

  • Target

    05f324f268d89d538d005ed163c25375.exe

  • Size

    513KB

  • MD5

    05f324f268d89d538d005ed163c25375

  • SHA1

    fa7292f7ba4129b4bd67d0068115d427cfd5e137

  • SHA256

    7cfa425be47b2561475067a302230a42d4a90207b2080fe7bc35852d24f91f96

  • SHA512

    e4c424fd31a6bce2366909f084d93aa03fa0c7e8ccc55bdacae00b5e9129f5a66367752afe8bf8d02b285e7dbbbe4b1e21e9ce4b21f7e7daf21667b94d368f50

  • SSDEEP

    12288:F8j5Z8SzMDZDGZQ8Uc169x09BDCQQ7lwPQeit1NxZZL:F6NOGZQ8Ue69x0c7KPQeitxf

Score
10/10

Malware Config

Extracted

Family

vidar

Version

40.1

Botnet

706

C2

https://eduarroma.tumblr.com/

Attributes
  • profile_id

    706

Signatures

  • Vidar

    Vidar is an infostealer based on Arkei stealer.

  • Vidar Stealer 4 IoCs
  • Program crash 17 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\05f324f268d89d538d005ed163c25375.exe
    "C:\Users\Admin\AppData\Local\Temp\05f324f268d89d538d005ed163c25375.exe"
    1⤵
      PID:2436
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 816
        2⤵
        • Program crash
        PID:3608
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 860
        2⤵
        • Program crash
        PID:1540
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 816
        2⤵
        • Program crash
        PID:1064
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 836
        2⤵
        • Program crash
        PID:4932
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 988
        2⤵
        • Program crash
        PID:1592
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1044
        2⤵
        • Program crash
        PID:4424
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1404
        2⤵
        • Program crash
        PID:2400
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1436
        2⤵
        • Program crash
        PID:4296
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1560
        2⤵
        • Program crash
        PID:2564
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1600
        2⤵
        • Program crash
        PID:1448
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1800
        2⤵
        • Program crash
        PID:3012
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1820
        2⤵
        • Program crash
        PID:3772
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1308
        2⤵
        • Program crash
        PID:3928
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1596
        2⤵
        • Program crash
        PID:4196
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1976
        2⤵
        • Program crash
        PID:4312
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1892
        2⤵
        • Program crash
        PID:4976
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 1892
        2⤵
        • Program crash
        PID:1300
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 2436 -ip 2436
      1⤵
        PID:2552
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 2436 -ip 2436
        1⤵
          PID:2196
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2436 -ip 2436
          1⤵
            PID:4296
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2436 -ip 2436
            1⤵
              PID:620
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2436 -ip 2436
              1⤵
                PID:3876
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2436 -ip 2436
                1⤵
                  PID:1052
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2436 -ip 2436
                  1⤵
                    PID:1696
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2436 -ip 2436
                    1⤵
                      PID:4836
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2436 -ip 2436
                      1⤵
                        PID:3028
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2436 -ip 2436
                        1⤵
                          PID:1092
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2436 -ip 2436
                          1⤵
                            PID:2892
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2436 -ip 2436
                            1⤵
                              PID:1780
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2436 -ip 2436
                              1⤵
                                PID:2016
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2436 -ip 2436
                                1⤵
                                  PID:3496
                                • C:\Windows\SysWOW64\WerFault.exe
                                  C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2436 -ip 2436
                                  1⤵
                                    PID:3388
                                  • C:\Windows\SysWOW64\WerFault.exe
                                    C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2436 -ip 2436
                                    1⤵
                                      PID:3272
                                    • C:\Windows\SysWOW64\WerFault.exe
                                      C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2436 -ip 2436
                                      1⤵
                                        PID:1464

                                      Network

                                      MITRE ATT&CK Matrix

                                      Replay Monitor

                                      Loading Replay Monitor...

                                      Downloads

                                      • memory/2436-1-0x0000000002F40000-0x0000000003040000-memory.dmp

                                        Filesize

                                        1024KB

                                      • memory/2436-2-0x0000000004AF0000-0x0000000004B8D000-memory.dmp

                                        Filesize

                                        628KB

                                      • memory/2436-3-0x0000000000400000-0x0000000002D0E000-memory.dmp

                                        Filesize

                                        41.1MB

                                      • memory/2436-4-0x0000000000400000-0x0000000002D0E000-memory.dmp

                                        Filesize

                                        41.1MB

                                      • memory/2436-6-0x0000000002F40000-0x0000000003040000-memory.dmp

                                        Filesize

                                        1024KB

                                      • memory/2436-7-0x0000000004AF0000-0x0000000004B8D000-memory.dmp

                                        Filesize

                                        628KB