Overview

overview

10

Static

static

3

e90320d827...18.exe

windows7-x64

10

e90320d827...18.exe

windows10-2004-x64

10

Analysis

  • max time kernel
    95s
  • max time network
    125s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240802-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
  • submitted
    18-09-2024 11:27

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    e90320d8271291cb894de8dad978ed55_JaffaCakes118.exe

  • Size

    953KB

  • MD5

    e90320d8271291cb894de8dad978ed55

  • SHA1

    fb18eb77c45f268ca31a3e21688af29c6b273288

  • SHA256

    6eddd76f578fab3a673349362690fc6e0a803c4725a0fad5148ddf23cf61109c

  • SHA512

    c4258243c6bcfc7d9d13f5f359e60ddb46b0df99698678f416ff18d9ab350b27161140a013fbf240d49e58e043d1528bda5c8aaf56a17081c00ce07dde8b59f3

  • SSDEEP

    24576:XIkguPn6pYHHotA6hIsaNsKuOtaqUfsDQjGZvS1j2T+dwqivJK:Ykf7ItA1qt+aVfhjGZvSY+dSvo

Score
10/10
vidardiscoverystealer

Malware Config

Signatures

  • Vidar

    Vidar is an infostealer based on Arkei stealer.

    stealervidar
  • Vidar Stealer 4 IoCs
    stealer
  • Program crash 15 IoCs
  • System Location Discovery: System Language Discovery 1 TTPs 1 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

    discovery

Processes

  • C:\Users\Admin\AppData\Local\Temp\e90320d8271291cb894de8dad978ed55_JaffaCakes118.exe
    "C:\Users\Admin\AppData\Local\Temp\e90320d8271291cb894de8dad978ed55_JaffaCakes118.exe"
    1⤵
    • System Location Discovery: System Language Discovery
    PID:4664
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 848
      2⤵
      • Program crash
      PID:1512
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 868
      2⤵
      • Program crash
      PID:2836
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 868
      2⤵
      • Program crash
      PID:4008
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 864
      2⤵
      • Program crash
      PID:1608
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 864
      2⤵
      • Program crash
      PID:1604
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1128
      2⤵
      • Program crash
      PID:3412
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1172
      2⤵
      • Program crash
      PID:3152
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1576
      2⤵
      • Program crash
      PID:1464
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1636
      2⤵
      • Program crash
      PID:1576
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1648
      2⤵
      • Program crash
      PID:4700
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1640
      2⤵
      • Program crash
      PID:816
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1708
      2⤵
      • Program crash
      PID:3192
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1672
      2⤵
      • Program crash
      PID:3024
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1084
      2⤵
      • Program crash
      PID:1184
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4664 -s 1044
      2⤵
      • Program crash
      PID:5028
  • C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4664 -ip 4664
    1⤵
      PID:2748
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 4664 -ip 4664
      1⤵
        PID:4080
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
        1⤵
          PID:1500
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4664 -ip 4664
          1⤵
            PID:976
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 4664 -ip 4664
            1⤵
              PID:952
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -pss -s 208 -p 4664 -ip 4664
              1⤵
                PID:4928
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                1⤵
                  PID:5112
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4664 -ip 4664
                  1⤵
                    PID:2668
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                    1⤵
                      PID:5024
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                      1⤵
                        PID:5048
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4664 -ip 4664
                        1⤵
                          PID:3040
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                          1⤵
                            PID:224
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 4664 -ip 4664
                            1⤵
                              PID:4964
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 4664 -ip 4664
                              1⤵
                                PID:2940
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 4664 -ip 4664
                                1⤵
                                  PID:1852

                                Network

                                MITRE ATT&CK Enterprise v15

                                Replay Monitor

                                Loading Replay Monitor...

                                Downloads

                                • memory/4664-0-0x0000000002290000-0x0000000002291000-memory.dmp

                                  Filesize

                                  4KB

                                  Download

                                • memory/4664-1-0x0000000002C90000-0x0000000002D1B000-memory.dmp

                                  Filesize

                                  556KB

                                  Download

                                • memory/4664-2-0x0000000000400000-0x000000000048C000-memory.dmp

                                  Filesize

                                  560KB

                                  Download

                                • memory/4664-10-0x0000000000400000-0x000000000048C000-memory.dmp

                                  Filesize

                                  560KB

                                  Download

                                • memory/4664-9-0x0000000000400000-0x00000000004F3000-memory.dmp

                                  Filesize

                                  972KB

                                  Download