Analysis
-
max time kernel
149s -
max time network
152s -
platform
windows10-2004_x64 -
resource
win10v2004-20240709-en -
resource tags
arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system -
submitted
11/07/2024, 10:18
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe
Resource
win7-20240708-en
windows7-x64
8 signatures
150 seconds
Behavioral task
behavioral2
Sample
38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe
Resource
win10v2004-20240709-en
windows10-2004-x64
8 signatures
150 seconds
General
-
Target
38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe
-
Size
92KB
-
MD5
38b7ac8d595e2af2e26a3d13aa4dc6dc
-
SHA1
855779e22bcefef74cd73e0ea9d5fb36b6fad34d
-
SHA256
40f8fd4a504eb1201cdfb764b7583836c39fa8b6c312e6cf6821e550623e271c
-
SHA512
99b642ed9b1bc7b6c38ee48dca62007ee3495dffdebba2c0a75bd9650a422713b863fc944559cdcfb07c16bb71aa52c30ad938f5a11446b43e2e47c4c6255b27
-
SSDEEP
1536:KcvNmNqJbtdiivGVR6njalbA/yTgFmLrgc1cWcZc+c5cusZy7xp0gZPk5:pOqJtdJy8iAyzZPO
Score
10/10
Malware Config
Signatures
-
Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs
description ioc Process Set value (int) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" nwwioj.exe -
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
description ioc Process Key value queried \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation 38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe -
Executes dropped EXE 1 IoCs
pid Process 4880 nwwioj.exe -
Adds Run key to start application 2 TTPs 52 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /h" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /g" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /d" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /S" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /J" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /W" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /B" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /i" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /F" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /k" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /X" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /H" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /x" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /n" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /r" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /E" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /v" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /R" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /U" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /j" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /P" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /s" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /z" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /u" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /y" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /I" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /f" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /t" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /D" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /Q" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /a" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /Z" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /w" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /q" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /C" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /A" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /L" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /c" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /K" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /p" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /m" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /G" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /T" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /O" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /b" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /e" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /o" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /N" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /M" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /Y" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /l" nwwioj.exe Set value (str) \REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /V" nwwioj.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
pid Process 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe 4880 nwwioj.exe -
Suspicious use of SetWindowsHookEx 2 IoCs
pid Process 212 38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe 4880 nwwioj.exe -
Suspicious use of WriteProcessMemory 3 IoCs
description pid Process procid_target PID 212 wrote to memory of 4880 212 38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe 86 PID 212 wrote to memory of 4880 212 38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe 86 PID 212 wrote to memory of 4880 212 38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe 86
Processes
-
C:\Users\Admin\AppData\Local\Temp\38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe"1⤵
- Checks computer location settings
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:212 -
C:\Users\Admin\nwwioj.exe"C:\Users\Admin\nwwioj.exe"2⤵
- Modifies visiblity of hidden/system files in Explorer
- Executes dropped EXE
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:4880
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
92KB
MD506a36b114e29ce6edc5ce0a7b2fa00e2
SHA128bcf7b8dd4bf3cdc6ae083f286904c17e0f60cf
SHA256ab04bb3988e0af306db68e89b95d6ac8335b649c99efa0d0effc46bf8448bf5b
SHA5127b7aa857abf4415d1588c0a8cf7795c02da14ba6688377fe828bac97c10ffe1610b42aa38b3d2c260c086da5435674903297dbd11d1f604ddd53bf759ab4eee2