Malicious PDF — malware analysis report

Static analysis result for SHA-256 385ecf02d8151287…

MALICIOUS

PDF

150.7 KB Created: 2007-05-22 08:22:20 +02:00 Authoring application: Adobe LiveCycle Designer 8.0 First seen: 2026-05-08
MD5: 8fad0fc509487aab4db18ee3d0c521f5 SHA-1: 6946fed690352ec2f753ad6fa277cf9d20ba406e SHA-256: 385ecf02d815128739f7580c9f31b69935591d8c4fbac2f85c7876c1783dca03
68 Risk Score

Malware Insights

MITRE ATT&CK
T1059.001 PowerShell T1204.002 Malicious File

The PDF file exhibits suspicious characteristics, including embedded JavaScript and an embedded file. The presence of these elements, particularly the embedded script payload and the 'embedded_file_obj0009.bin', strongly suggests an attempt to download and execute a secondary malicious payload. The heuristics indicate JavaScript actions and embedded scripts within PDF streams, pointing towards a multi-stage attack.

Machine Learning

  • Nyx PDF Classifier malicious score 0.9963

Heuristics 7

  • JavaScript action low 1 related finding PDF_JAVASCRIPT
    PDF contains a /JavaScript action. Generic JavaScript is common in benign forms; specific dangerous APIs are scored by separate rules.
  • Embedded JS stream low PDF_JS
    PDF references a /JS stream. Generic JavaScript is common in benign forms; specific dangerous APIs are scored by separate rules.
  • Embedded file low PDF_EMBEDDED
    PDF embeds a file attachment — could carry an executable or another weaponised document as a nested payload
  • XFA form low PDF_XFA
    PDF uses XML Forms Architecture — can contain script logic
  • Embedded script payload in PDF stream info PDF_EMBEDDED_SCRIPT_PAYLOAD
    PDF stream bytes contain an HTML/XFA <script> tag without accompanying Windows shell-execution primitives — common in accessible XFA forms but worth surfacing for analyst review.
  • Suspicious extracted artifact info EXTRACTED_FILE_STATIC_TRIAGE
    One or more files extracted from inside this sample matched static suspicious-content checks such as script obfuscation, encoded payload blobs, packed data, or execution/download terms.
  • Embedded URL info EMBEDDED_URL
    One or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.
    URL http://www.monotype.comMonotype Referenced by PDF JavaScript
    • http://www.w3.org/1999/02/22-rdf-syntax-ns#In PDF document text
    • http://ns.adobe.com/xap/1.0/In PDF document text
    • http://ns.adobe.com/xap/1.0/mm/In PDF document text
    • http://purl.org/dc/elements/1.1/In PDF document text
    • http://ns.adobe.com/pdf/1.3/In PDF document text
    • http://cgi.adobe.com/special/acrobat/updateReferenced by PDF JavaScript
    • http://www.monotype.com/html/mtname/ms_arial.htmlhttp://www.monotype.com/html/mtname/ms_welcome.htmlhttp://www.monotype.com/html/type/license.htmlReferenced by PDF JavaScript
    • http://www.monotype.com/html/mtname/ms_timesnewroman.htmlhttp://www.monotype.com/html/mtname/ms_welcome.htmlhttp://www.monotype.com/html/type/license.htmlReferenced by PDF JavaScript
    • http://ns.adobe.com/xdp/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xci/1.0/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-template/2.5/Referenced by PDF JavaScript
    • http://www.w3.org/1999/xhtmlReferenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-data/1.0/Referenced by PDF JavaScript
    • http://www.xfa.org/schema/xfa-locale-set/2.1/Referenced by PDF JavaScript
    • http://ns.adobe.com/xtd/In PDF document text
    • http://ns.adobe.com/xfdf/In PDF document text

Extracted artifacts 13

Files carved from inside the sample during analysis.

FilenameKindSourceSize
embedded_file_obj0007.bin pdf-embedded-file PDF EmbeddedFile object 7 at offset 0x1F2DC 85 bytes
SHA-256: c06dcd026a7ea0536b63e07ce688691b585339a3ab7ff59065e546b56308c7bb
embedded_file_obj0008.bin pdf-embedded-file PDF EmbeddedFile object 8 at offset 0x1F38E 2045 bytes
SHA-256: b390e6c42aeee26e073f7a7b01978ec9711fe09af9306f3abbcbc52791b95a23
embedded_file_obj0009.bin pdf-embedded-file PDF EmbeddedFile object 9 at offset 0x1F6ED 52974 bytes
SHA-256: 929f637b524f7c1d417c05afcca6ba5003e4ed808f1a77c45a5807500f2a5e96
Detection
ClamAV: No threats found
Obfuscation or payload: likely
Carved artifact contains 2 long base64-like blob(s).
embedded_file_obj0010.bin pdf-embedded-file PDF EmbeddedFile object 10 at offset 0x216D1 214 bytes
SHA-256: 7e915b5dd2e321929666a7b64c038b67678092d6e43a4a70683521856a4d5128
embedded_file_obj0011.bin pdf-embedded-file PDF EmbeddedFile object 11 at offset 0x217CC 2415 bytes
SHA-256: a8d2cd1302a8c7607ceca6ddec6efe61839bcac8f71b8bc5932623262cbe2d70
embedded_file_obj0012.bin pdf-embedded-file PDF EmbeddedFile object 12 at offset 0x21ABB 3763 bytes
SHA-256: cc6136c0e6e7058ebabd41e6360aeeba0aab45255792b15a8a99f67d3c682739
embedded_file_obj0013.bin pdf-embedded-file PDF EmbeddedFile object 13 at offset 0x21C4A 799 bytes
SHA-256: 4163552afc8323e10ac4b0eaff86c27ab8a965cd6666563c7fb647a9535143ad
embedded_file_obj0014.bin pdf-embedded-file PDF EmbeddedFile object 14 at offset 0x21E59 110 bytes
SHA-256: b1b296d371e691ae903fc90e2f3bd69eeac3730137d7c7f5d9379aed02cb51d6
javascript_obj0371_000.js pdf-javascript-stream PDF /JS object 371 at offset 0x77D 1604 bytes
SHA-256: f979542c4992f256c12537db5bbe5f86605da11ef877e634ccfc2c47c9284b10
Preview script
First 1,000 lines of the extracted script
if (typeof(xfa_installed) == "undefined" || typeof(xfa_version) == "undefined" || xfa_version < 1.2)
{
   if (app.viewerType == "Reader")
   {
      if (ADBE.Reader_Value_Asked != true)
      {
         if (app.viewerVersion < 6.01)
         {
            if (app.alert(ADBE.Viewer_Form_string_Reader_Older, 1, 1) == 1)
               this.getURL(ADBE.Reader_Value_New_Version_URL + ADBE.SYSINFO, false);
         }
         else
         {
            if (app.alert(ADBE.Viewer_Form_string_Reader_601, 1, 1) == 1)
               app.findComponent({cType:"Plugin", cName:"XFA",
                                   cDesc: ADBE.Viewer_string_Update_Reader_Desc});
         }
         ADBE.Reader_Value_Asked = true;
      }
   }
   else
   {
      if (ADBE.Viewer_Value_Asked != true)
      {
         if (app.viewerVersion == 6)
         {
            app.response({cQuestion: ADBE.Viewer_Form_string_Viewer_60,
            cDefault: ADBE.Viewer_Value_New_Version_URL + ADBE.SYSINFO,
            cTitle: ADBE.Viewer_string_Title});
         }
         else if (app.viewerVersion < 6)
         {
            app.response({cQuestion: ADBE.Viewer_Form_string_Viewer_Older,
            cDefault: ADBE.Viewer_Value_New_Version_URL + ADBE.SYSINFO,
            cTitle: ADBE.Viewer_string_Title});
         }
         else
         {
            if (app.alert(ADBE.Viewer_Form_string_Viewer_601, 1, 1) == 1)
                app.findComponent({cType:"Plugin", cName:"XFA",
                                   cDesc: ADBE.Viewer_string_Update_Desc});
         }
         ADBE.Viewer_Value_Asked = true;
      }
   }
}
javascript_obj0372_001.js pdf-javascript-stream PDF /JS object 372 at offset 0x966 902 bytes
SHA-256: 3bf84668674e23c91aaaa6c58c24a1f80a30566e9cfbd09040882d18101fed76
Preview script
First 1,000 lines of the extracted script
if (typeof(ADBE.Reader_Value_Asked) == "undefined")
   ADBE.Reader_Value_Asked = false;
if (typeof(ADBE.Viewer_Value_Asked) == "undefined")
   ADBE.Viewer_Value_Asked = false;
if (typeof(ADBE.Reader_Need_Version) == "undefined" || ADBE.Reader_Need_Version < 6.01)
{
   ADBE.Reader_Need_Version = 6.03
   ADBE.Reader_Value_New_Version_URL =
       "http://cgi.adobe.com/special/acrobat/update";
   ADBE.SYSINFO = "?p=" + app.platform + "&v=" + app.viewerVersion + "&l="
       + app.language + "&c=" + app.viewerType + "&w=" + "XFA1_5";
}
if (typeof(ADBE.Viewer_Need_Version) == "undefined" || ADBE.Viewer_Need_Version < 6.01)
{
   ADBE.Viewer_Need_Version = 6.03;
   ADBE.Viewer_Value_New_Version_URL =
       "http://cgi.adobe.com/special/acrobat/update";
   ADBE.SYSINFO = "?p=" + app.platform + "&v=" + app.viewerVersion + "&l=" 
       + app.language + "&c=" + app.viewerType + "&w=" + "XFA1_5";
}
javascript_obj0373_002.js pdf-javascript-stream PDF /JS object 373 at offset 0xAD1 3795 bytes
SHA-256: f818e05264775fea0eb227255ff8484376757141decbcbc69724ac650f3c7c50
Preview script
First 1,000 lines of the extracted script
if (typeof(this.ADBE) == "undefined")
   this.ADBE = new Object();
ADBE.LANGUAGE = "ENU";
ADBE.Viewer_string_Title = "Adobe Acrobat";
ADBE.Viewer_string_Update_Desc = "Adobe Interactive Forms - Update";
ADBE.Viewer_string_Update_Reader_Desc = "Adobe Reader 7.0.5";
ADBE.Reader_string_Need_New_Version_Msg = "Diese PDF-Datei erfordert einen h�here Version von Adobe Reader. Dr�cken Sie OK, um die neueste Version herunterzuladen, oder wenden Sie sich an Ihren Systemadministrator.";
ADBE.Viewer_Form_string_Reader_601 = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Reader erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Klicken Sie auf OK, um ein Online-Update zu initiieren, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Reader_Older = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Reader erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Klicken Sie auf OK, um Informationen �ber Online-Downloads abzurufen, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Viewer_601 = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Acrobat erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Klicken Sie auf OK, um ein Online-Update zu initiieren, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Viewer_60 = "F�r dieses PDF-Formular ist eine neuere Version von Adobe Acrobat erforderlich. Selbst wenn das Formular ordnungsgem�� zu funktionieren scheint, funktionieren einige Elemente m�glicherweise nicht einwandfrei oder werden �berhaupt nicht angezeigt. Weitere Informationen erhalten Sie, wenn Sie die folgende Internetadresse aufrufen (indem Sie die URL durch Dr�cken von STRG+C [Win] oder Befehlstaste+C [Mac] kopieren und in die Adressleiste Ihres Browsers einf�gen). Sie k�nnen sich auch an Ihren Systemadministrator wenden.";
ADBE.Viewer_Form_string_Viewer_Older = "F�r diese PDF-Datei ist eine neuere Version von Adobe Acrobat erforderlich. Kopieren Sie diese URL, und f�gen Sie sie in Ihren Browser ein, oder wenden Sie sich an den Systemadministrator.";
ADBE.Viewer_Form_string_Reader_5x = "Dieses PDF-Formular kann nur in einer neueren Adobe Reader-Version verwendet werden. In einer �lteren Version wird das Formular zwar angezeigt, doch es funktioniert m�glicherweise nicht einwandfrei. Einige Formularelemente werden u. U. �berhaupt nicht angezeigt. Wenn eine Internetverbindung zur Verf�gung steht, klicken Sie auf OK, um in Ihrem Browser eine Web-Seite zu �ffnen, auf der die aktuelle Version erh�ltlich ist.";
ADBE.Viewer_Form_string_Reader_6_7x = "Dieses PDF-Formular kann nur in einer neueren Adobe Reader-Version verwendet werden. In einer �lteren Version wird das Formular zwar angezeigt, doch es funktioniert m�glicherweise nicht einwandfrei. Einige Formularelemente werden u. U. �berhaupt nicht angezeigt. Wenn eine Internetverbindung zur Verf�gung steht, klicken Sie auf OK, um die aktuelle Version herunterzuladen und zu installieren";
ADBE.Viewer_Form_string_Viewer_7x = "Dieses PDF-Formular kann nur in einer neueren Adobe Acrobat-Version verwendet werden. In einer �lteren Version wird das Formular zwar angezeigt, doch es funktioniert m�glicherweise nicht einwandfrei. Einige Formularelemente werden u. U. �berhaupt nicht angezeigt. Wenn eine Internetverbindung zur Verf�gung steht, klicken Sie auf OK, um die aktuelle Version herunterzuladen und zu installieren";
stream_009_off0000b3fa.bin decompressed-pdf-stream PDF FlateDecoded stream at offset 0xB3FA 78863 bytes
SHA-256: 900fc0670336186122cc991fbb75cf5be2b99ed638b37cc32f102e26636a3436
font_00_sfnt_off00002bd1.bin pdf-font-stream PDF embedded font (sfnt) at offset 0x2BD1 71416 bytes
SHA-256: 1dd53e29de61e9167b0123d33b062d54e3dfe8a23d1428a0e4d145be06be0b6f