cybergate | 16a97c555e1bb19000b92228b1ca9353971a190f2b237f1413074ee62407f985

Modify Registry

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = "c:\\window\\wine\\win\\winr.exe"	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Key created	\REGISTRY\USER\S-1-5-21-4084619521-2220719027-1909462854-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4084619521-2220719027-1909462854-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = "c:\\window\\wine\\win\\winr.exe"	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

Modify Registry

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{45E3OB5R-SS42-4PU2-LI64-36O3O0KE1125}\StubPath = "c:\\window\\wine\\win\\winr.exe Restart"	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{45E3OB5R-SS42-4PU2-LI64-36O3O0KE1125}	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

UPX packed file 3 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/4920-9-0x0000000024010000-0x000000002406F000-memory.dmp	upx
behavioral2/memory/4920-69-0x0000000024070000-0x00000000240CF000-memory.dmp	upx
behavioral2/memory/2304-74-0x0000000024070000-0x00000000240CF000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

Modify Registry

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

description	ioc	process
Set value (str)	\REGISTRY\USER\S-1-5-21-4084619521-2220719027-1909462854-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU = "c:\\window\\wine\\win\\winr.exe"	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\HKLM = "c:\\window\\wine\\win\\winr.exe"	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

Suspicious use of SetThreadContext 1 IoCs

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

description	pid	process	target process
PID 3736 set thread context of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

pid process

4920 DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
4920 DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Suspicious use of FindShellTrayWindow 1 IoCs

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

pid process

4920 DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
Suspicious use of SetWindowsHookEx 1 IoCs

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

pid process

3736 DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

pid	process
4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

pid	process
4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

pid	process
3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exeDICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe

description	pid	process	target process
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 3736 wrote to memory of 4920	3736	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE
PID 4920 wrote to memory of 3504	4920	DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe	Explorer.EXE

C:\Windows\Explorer.EXE
C:\Windows\Explorer.EXE
1⤵
PID:3504

C:\Users\Admin\AppData\Local\Temp\DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
"C:\Users\Admin\AppData\Local\Temp\DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe"
2⤵
- Suspicious use of SetThreadContext
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3736

C:\Users\Admin\AppData\Local\Temp\DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
"C:\Users\Admin\AppData\Local\Temp\DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe"
3⤵
- Adds policy Run key to start application
- Modifies Installed Components in the registry
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of FindShellTrayWindow
- Suspicious use of WriteProcessMemory
PID:4920

C:\Windows\SysWOW64\explorer.exe
explorer.exe
4⤵
PID:2304

C:\Program Files\Internet Explorer\iexplore.exe
"C:\Program Files\Internet Explorer\iexplore.exe"
4⤵
PID:3936

C:\Users\Admin\AppData\Local\Temp\DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe
"C:\Users\Admin\AppData\Local\Temp\DICIENDOTE TODO LO QUE NO SOY CAPAZ DE DECIRTE EN PERSONA.exe"
4⤵
PID:5116

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

Defense Evasion

Modify Registry