40f8fd4a504eb1201cdfb764b7583836c39fa8b6c312e6cf6821e550623e271c

Analysis

max time kernel
149s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
11/07/2024, 10:18

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe
Size

92KB
MD5

38b7ac8d595e2af2e26a3d13aa4dc6dc
SHA1

855779e22bcefef74cd73e0ea9d5fb36b6fad34d
SHA256

40f8fd4a504eb1201cdfb764b7583836c39fa8b6c312e6cf6821e550623e271c
SHA512

99b642ed9b1bc7b6c38ee48dca62007ee3495dffdebba2c0a75bd9650a422713b863fc944559cdcfb07c16bb71aa52c30ad938f5a11446b43e2e47c4c6255b27
SSDEEP

1536:KcvNmNqJbtdiivGVR6njalbA/yTgFmLrgc1cWcZc+c5cusZy7xp0gZPk5:pOqJtdJy8iAyzZPO

Score

10^/10

evasion persistence

Malware Config

Signatures

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	nwwioj.exe

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\Control Panel\International\Geo\Nation	38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe

Executes dropped EXE 1 IoCs

pid	Process
4880	nwwioj.exe

Adds Run key to start application 2 TTPs 52 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /h"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /g"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /d"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /S"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /J"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /W"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /B"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /i"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /F"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /k"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /X"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /H"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /x"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /n"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /r"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /E"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /v"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /R"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /U"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /j"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /P"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /s"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /z"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /u"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /y"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /I"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /f"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /t"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /D"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /Q"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /a"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /Z"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /w"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /q"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /C"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /A"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /L"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /c"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /K"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /p"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /m"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /G"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /T"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /O"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /b"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /e"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /o"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /N"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /M"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /Y"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /l"	nwwioj.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3419463127-3903270268-2580331543-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwwioj = "C:\\Users\\Admin\\nwwioj.exe /V"	nwwioj.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe
4880	nwwioj.exe

Suspicious use of SetWindowsHookEx 2 IoCs

pid	Process
212	38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe
4880	nwwioj.exe

Suspicious use of WriteProcessMemory 3 IoCs

description	pid	Process	procid_target
PID 212 wrote to memory of 4880	212	38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe	86
PID 212 wrote to memory of 4880	212	38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe	86
PID 212 wrote to memory of 4880	212	38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe	86

C:\Users\Admin\AppData\Local\Temp\38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\38b7ac8d595e2af2e26a3d13aa4dc6dc_JaffaCakes118.exe"
1⤵
- Checks computer location settings
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:212
- C:\Users\Admin\nwwioj.exe
  "C:\Users\Admin\nwwioj.exe"
  2⤵
  - Modifies visiblity of hidden/system files in Explorer
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of SetWindowsHookEx
  PID:4880

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\nwwioj.exe

Filesize
92KB

MD5
06a36b114e29ce6edc5ce0a7b2fa00e2

SHA1
28bcf7b8dd4bf3cdc6ae083f286904c17e0f60cf

SHA256
ab04bb3988e0af306db68e89b95d6ac8335b649c99efa0d0effc46bf8448bf5b

SHA512
7b7aa857abf4415d1588c0a8cf7795c02da14ba6688377fe828bac97c10ffe1610b42aa38b3d2c260c086da5435674903297dbd11d1f604ddd53bf759ab4eee2

Download Submit