Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

General

  • Target

    421ec0eb7d304d48948a9ec29fbc52cbc6c864aacda86d53cd33c6ee971044a4N

  • Size

    320KB

  • Sample

    241009-wyc7qsvgqh

  • MD5

    ee5fd6836f31c8f1dd099ecf3bb77930

  • SHA1

    924a0f9e1a9b516dc5ad5cb44bc3f127e59b1312

  • SHA256

    421ec0eb7d304d48948a9ec29fbc52cbc6c864aacda86d53cd33c6ee971044a4

  • SHA512

    2d60ff7b9bc2540b4c763a6c06106c3192298ad857b6a2cbcdd24b3c1171a0e6e0e4739fdff42296b7f6272b2c2570d134fb890ab6b7ee4257f323cfac6d31eb

  • SSDEEP

    6144:+vlNY/m05XUEtMEX6vluZV4U/vlf0DrBqvl8ZV4U/vlfl+9Q:+vym05XEvG6IveDVqvQ6IvP

Malware Config

Extracted

Family

berbew

C2

http://crutop.nu/index.php

http://crutop.ru/index.php

http://mazafaka.ru/index.php

http://color-bank.ru/index.php

http://asechka.ru/index.php

http://trojan.ru/index.php

http://fuck.ru/index.php

http://goldensand.ru/index.php

http://filesearch.ru/index.php

http://devx.nm.ru/index.php

http://ros-neftbank.ru/index.php

http://lovingod.host.sk/index.php

http://www.redline.ru/index.php

http://cvv.ru/index.php

http://hackers.lv/index.php

http://fethard.biz/index.php

http://ldark.nm.ru/index.htm

http://gaz-prom.ru/index.htm

http://promo.ru/index.htm

http://potleaf.chat.ru/index.htm

Targets

    • Target

      421ec0eb7d304d48948a9ec29fbc52cbc6c864aacda86d53cd33c6ee971044a4N

    • Size

      320KB

    • MD5

      ee5fd6836f31c8f1dd099ecf3bb77930

    • SHA1

      924a0f9e1a9b516dc5ad5cb44bc3f127e59b1312

    • SHA256

      421ec0eb7d304d48948a9ec29fbc52cbc6c864aacda86d53cd33c6ee971044a4

    • SHA512

      2d60ff7b9bc2540b4c763a6c06106c3192298ad857b6a2cbcdd24b3c1171a0e6e0e4739fdff42296b7f6272b2c2570d134fb890ab6b7ee4257f323cfac6d31eb

    • SSDEEP

      6144:+vlNY/m05XUEtMEX6vluZV4U/vlf0DrBqvl8ZV4U/vlfl+9Q:+vym05XEvG6IveDVqvQ6IvP

    • Adds autorun key to be loaded by Explorer.exe on startup

    • Berbew

      Berbew is a backdoor written in C++.

    • Executes dropped EXE

    • Loads dropped DLL

    • Drops file in System32 directory

MITRE ATT&CK Enterprise v15

Tasks