MALICIOUS
242
Risk Score
Malware Insights
MITRE ATT&CK
T1059.001 PowerShell
T1204.002 Malicious File
T1566.001 Spearphishing Attachment
The document contains social engineering lures, including instructions to copy and paste commands into a terminal, and references to executing command-line tools like wget. It also mentions password-protected archives, suggesting a multi-stage attack. The presence of these elements indicates an attempt to bypass security controls and download additional malicious content.
Heuristics 7
-
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Reference to Windows Script Host high SC_STR_WSCRIPTReference to Windows Script Host
-
Clipboard command execution lure high SE_CLIPBOARD_COMMAND_LUREDocument tells the user to copy or paste clipboard content into Run, PowerShell, cmd, or another shell-like execution context
-
LOLBin token sequence in document text high SE_LOLBIN_RUN_COMMANDExtracted document text contains a Windows script/execution tool name (PowerShell, mshta, cmd, rundll32, regsvr32, …) within 220 characters of a dangerous flag, command verb, or URL. This is a visible 'run this' instruction in HTML/PDF/RTF lure bodies, or — in macro-laden Office files — the macro's own string-pool entries appearing adjacent in extracted text.
-
ClickFix social engineering attack high SE_CLICKFIXDocument instructs the user to press Win+R or paste a command into a terminal — consistent with ClickFix attacks that bypass macro restrictions by tricking users into running malicious commands directly
-
Password-protected archive handoff high SE_PASSWORD_ARCHIVE_LUREDocument gives password instructions for an archive or attachment — often used to keep payloads encrypted until after gateway scanning
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Logo-00.png
- http://www.metasploit-es.com.ar/wiki/images/1/1b/Logo-00.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Intro-00.png
- http://www.metasploit-es.com.ar/wiki/images/a/ae/Intro-00.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Additional_services_01.png
- http://www.metasploit-es.com.ar/wiki/images/5/5a/Additional_services_01.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Additional_services_02.png
- http://www.metasploit-es.com.ar/wiki/images/f/f6/Additional_services_02.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Additional_services_03.png
- http://www.metasploit-es.com.ar/wiki/images/d/d4/Additional_services_03.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Additional_services_04.png
- http://www.metasploit-es.com.ar/wiki/images/d/d8/Additional_services_04.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Additional_services_05.png
- http://www.metasploit-es.com.ar/wiki/images/f/f6/Additional_services_05.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_01.png
- http://www.metasploit-es.com.ar/wiki/images/e/ed/Sql_express_01.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_02.png
- http://www.metasploit-es.com.ar/wiki/images/3/35/Sql_express_02.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_03.png
- http://www.metasploit-es.com.ar/wiki/images/9/96/Sql_express_03.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_04.png
- http://www.metasploit-es.com.ar/wiki/images/8/87/Sql_express_04.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_05.png
- http://www.metasploit-es.com.ar/wiki/images/b/be/Sql_express_05.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_06.png
- http://www.metasploit-es.com.ar/wiki/images/d/d3/Sql_express_06.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Sql_express_07.png
- http://www.metasploit-es.com.ar/wiki/images/f/fc/Sql_express_07.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_01.png
- http://www.metasploit-es.com.ar/wiki/images/3/3c/Webapp_01.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_02.png
- http://www.metasploit-es.com.ar/wiki/images/6/65/Webapp_02.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_03.png
- http://www.metasploit-es.com.ar/wiki/images/d/df/Webapp_03.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_04.png
- http://www.metasploit-es.com.ar/wiki/images/c/c8/Webapp_04.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_05.png
- http://www.metasploit-es.com.ar/wiki/images/0/06/Webapp_05.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_06.png
- http://www.metasploit-es.com.ar/wiki/images/d/db/Webapp_06.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_07.png
- http://www.metasploit-es.com.ar/wiki/images/5/51/Webapp_07.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Webapp_08.png
- http://www.metasploit-es.com.ar/wiki/images/4/45/Webapp_08.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Msfcon-00.png
- http://www.metasploit-es.com.ar/wiki/images/8/86/Msfcon-00.png
- http://www.metasploit-es.com.ar/wiki/index.php/Archivo:Msfcli-00.png
- http://www.metasploit-es.com.ar/wiki/images/3/30/Msfcli-00.png
- http://www.metasploit-es.com.ar/wiki/index.php/Msfgui
- http://www.metasploit-es.com.ar/wiki/index.php/Msfweb
+213 more URL(s)
Open this report in the interactive analyzer, or submit your own file for analysis.