Malicious PDF — malware analysis report

Static analysis result for SHA-256 679cd0d5626f26ff…

MALICIOUS

PDF

716.1 KB Created: 2003-06-21 11:00:10 UTC Authoring application: Acrobat Web Capture 6.0 First seen: 2021-05-22
MD5: ffca2894117afa52e8f6e93c798bc5d5 SHA-1: 6b8fcb47f0cb049dede1666e0ea87783df9c85b5 SHA-256: 679cd0d5626f26ff94db53e441a83351c01869c19e26bac646d5c3134346123f
148 Risk Score

Malware Insights

MITRE ATT&CK
T1059.007 JavaScript T1566.001 Spearphishing Attachment

The PDF file contains an embedded JavaScript payload that is obfuscated and attempts to download content from the URL http://personales.ciudad.com.ar/Derrida/index.htm. This behavior is indicative of a downloader or initial access mechanism, likely delivered via spearphishing. The ClamAV detection of Html.Spyware.IMG-6 further supports the malicious nature of the embedded content.

Machine Learning

  • Nyx PDF Classifier suspicious score 0.4114

Heuristics 6

  • ClamAV: Html.Spyware.IMG-6 critical CLAMAV_DETECTION
    ClamAV detected this file as malware: Html.Spyware.IMG-6
  • Embedded script payload in PDF stream medium PDF_EMBEDDED_SCRIPT_PAYLOAD
    PDF stream bytes contain an HTML/XFA <script> tag without accompanying Windows shell-execution primitives — common in accessible XFA forms but worth surfacing for analyst review.
  • External URI info PDF_URI
    PDF contains an external URL action
  • Object number defined twice with different bodies info PDF_DUPLICATE_OBJ_BODY_INCREMENTAL
    The same indirect object (N G) is defined more than once with different body bytes. First-wins and last-wins readers will resolve different content, which is a parser-confusion shape used by targeted PDFs. Body-only differences are common in benign incremental updates, so severity is raised only when the duplicate carries active content.
  • Suspicious extracted artifact info EXTRACTED_FILE_STATIC_TRIAGE
    One or more files extracted from inside this sample matched static suspicious-content checks such as script obfuscation, encoded payload blobs, packed data, or execution/download terms.
  • Embedded URL info EMBEDDED_URL
    One or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.
    URL http://personales.ciudad.com.ar/Derrida/derrida_logo.jpg In PDF document text
    • http://personales.ciudad.com.ar/Derrida/head.jpgIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/index.htmPDF link annotation
    • http://www.nietzscheana.com.ar/In PDF document text
    • http://personales.ciudad.com.ar/M_Heidegger/In PDF document text
    • http://personales.ciudad.com.ar/Derrida/textos.htmIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/comentarios.htmIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/fotos.htmIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/cronologia.htmIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/bibliografia.htmIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/links.htmIn PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn1In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn2In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn3In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn4In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn5In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn6In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn7In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn8In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn9In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn10In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn11In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn12In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn13In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn14In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn15In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn16In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn17In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn18In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn19In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn20In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn21In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn22In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn23In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn24In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn25In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_edn26In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref1In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref2In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref3In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref4In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref5In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref6In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref7In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref8In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref9In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref10In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref11In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref12In PDF document text
    • http://personales.ciudad.com.ar/Derrida/como_no_hablar.htm#_ednref13In PDF document text
    +82 more URL(s)

Extracted artifacts 1

Files carved from inside the sample during analysis.

FilenameKindSourceSize
embedded_pdf_script_00003459.bin pdf-embedded-script PDF raw stream script payload at offset 0x3459 11235 bytes
SHA-256: 895fc304383cf380488fa35a5810b9e28a38599ccbb64859486189b2e960f22e
Detection
ClamAV: Html.Spyware.IMG-6
Obfuscation or payload: likely
Carved artifact contains 1 eval/decoder/string-building token(s).
Preview script
First 1,000 lines of the extracted script
����  JFIF     d d  ��  Ducky          ��  Adobe d�    �� �             
                        #%'%# //33//@@@@@@@@@@@@@@@                      &     &0#    #0+.'''.+550055@@?@@@@@@@@@@@@��    � �  "       �� �                                                                     ! 1  AQaq"  ��2���B# ����R3$ b�r���҃4                     !1  AQaq"��2 ��B ��R���br�c 4��          ? �S&/_r*�RLE��7���\-� �" � X��/
ˑ�6�� =z� G�6��rΥW�*H L\G�o\�K � ���%���@W H0 �I� �  �  ͌�u� �zAw @��F���w�S ?M�] �H� �+D�Xg�Ϗ��9)��
��M��b��_��������D���CB � 6��5s����ο㑣�G�� �5�^�9��^> X�  �$)bA�k�� 36.* �ۘ a��� \ � ���?�a�Ƙ� ��r�R �:�[f"r :�������e6�O�u � �v���c:֘ߏ���o� K�ěEg��B�KܴE�ьZ 
9R�Y�r?m�z@� Ʊ:Z���� ��wM<���0fA�;�e(�aa�K���  ���� Y<���Hl�,�� *ղ�x ��6��G�>U�  |N�4�����  Lt�yfX5��_ ��.�w wѼnW *��,�`����h<
�8y �0�����Yp �k� B��m=hY'=�k��� \�02IS;H {"�`� ��r! H�
) �, y  �f;���\� �X �H��a��X� _ �"�u�}�;:�� p �� �W)ءz@�d � *@�X�q�hJ �T��e~ L� Qm$��Z�
�z�  `�'��V |y�ʬTm ]? �	rzȠ��5 u Y �
� ��B�H���jˎ V|� 󝱧u�ַɌ� �ց ��V| �1�+3x � 
�ۀ~��4��x��m�#�R���� q�y  �kT�� D8�l��u: =i�Q�l��� cQ#�JG����+ 	� �I����x�U�"�Z&֧�yD頻0��St�D�m{A=�lxQC(f @;��"�1Cp��q�u`��H  ��� )|�u D� �ޅ��  �6   + �� �㾹ot � ��&���M�)*� �/3���{�2��   
n �~��� �� �`w��\�և�b r2ȸR-s �M{���8x1 ��6�w���W��� ��.2L����� t�I�>�� �/��@��  ����a � �+) $k��׊�2)L���n�+>/ b�
��ZL�Q�	�F�c�Tl`�� �ץ,�� D n�y�����V
I�a6� � �:���i8� /�� *��ZzxkB�`CH ��5�� D��'C�@1* S &{j�@�ir��g�4Q&ö����,�&w �3�}�W�P�!� &>�N� S~�)bI   #F ;��J� �> � � ��Libh� FAee�� �S�b��(iйk�� /�M�C�Հ  ^߲�Q �ɏ7  ���u�Y��
wcȯ;Xů�� �r��L� �U�B� ���x��� ��rq��e+q~��[��]@���o���R�R#a��~�Y{z��V��   �e L���ko ։ ��x�C#�%bgS�k|�K8b �w�� 9Q����O� Ԯ5ƹAb��h��"�X�� 7d �pe�_�J ��aH�Y$�}F'�º]�8�H1pAa��HB1�0Q3  $����  !R  �  �:��NN��QJ�`�m�:� @�2ki�PZ �N��M� �< ��o  ��x�1'� \[�54 �PF2!Fв�;����� <�B��;�&�\id?��,-���y��n�RcC�[���m ����  �
 �6�O��+6�' �@^�  � M �V���}  �G�fԿ ��b$�e ���^���G���r P�@ep  �� 4p� x��͵���! u�- ��{ ��X�zT.���C.FF�6�� $��<�g�t�,&�+�G�  �5 �O�՗$(G*A x쵢�� � M� $�@  ���H��{� F�N�3?ڇnj�e�I ~=�U�'SOlr9 H 8��z�rc;�$1 7  ��o��1��a3���+�
��ZHPN��� >MJT�=� ���I7�bd�� _  8  ��c����e�x�� X� ��j�� α ŢdQ J7R�O���175�;:��Ɲ+̂0:���6�U6�$�#��Ɗ�b�4 �U� 7 �`\i�S��� �H�7��� �� H�����  ZI��] �"�w�9*����H��x� 5�\�<;�rC��A �@�Ұ�
 b;�ښ}� Q|Q� L� DԪpr��ȭ"lf>ڔ��� �� s+0LZE�q � 8V���V
� �7����f �I� i�N��<pC   � ����R z�zjq  "� �+ @��  	=�1FeUL ���t  4�]�1��� �34�  p� 6��}���1�)X �Gþ� �2�A!`���(Os��� �� '�Ѯ ��#	n  &
�u/����*I1�� �  � ��4'�- ~ M �N> ��!�T��� �jt�Q�l�=����dXA�9� l�M�\|8p K�R�*  ,��;� ; �� �a>X� Q�� U 6f�����p�F�*��rLe �� �2m>Z��,��6�� 'd m�� ��v E��ۤMF  � i ��� ���1���! �'�� <u�  �Ѱ Ƭ@ h��38VH  �>4� �v��� �	 � ����rPy�hak
 �iv"��Y -� ��\q� �� �U�� ��� �?�  +�lk�h|l��V*f  [k T偓�!��
 �Z���:�e7 1� _��2�`rq�  G�f���l9x䁰�{X �2 6 �$�� ��ij�2 ��ҍ_� #�A����JA 7n5�  E����φ �(��7�x�KZ�EB׆�5슥)? <� �$(3�'�B& �C��lD o�7� 6� �wPY���#�3 ����mc� � ��c��.5�5�S?lԩ�� � � �]��{ ��<��� ��L�>o�w����BN @ �Ge+8@e�z 	֞q� ED_���%� ���R�r��-�;��||L����������  �c� 露���ck"�~&����� � 5|g+ >k bz.�7,���� ��c ��Ή�,$ s$�G�u��-�� DQMt  *� ��m �H��Kyc ��-�  
n���t � }4�)�H̟�� �Oʚ� �_ QZ4[̈́|/GsW ���6#M> �  Y  ��{���:�݌�A x|kFM8bBA� @[�SZd*1� ��  �n'FS{��
ٚq�=�� � _w[Δ/$��T ����3>4 v��b፴�!z�q�d��[O_� ��  M�H6 s �Ҕ�� M����QM�0�L�	�� �j
e �[!<7r�m0`G奾���� bI���G�'��S�  ;: ���љ��  1Yi`�P��쎤1��L �jV�}V��� ��P.&;{iz7����{��
�&gS�e[  � �  " �mQzI����& t��i� ' �&{z߼� �U>Ov��/���v+�9 � C �z�Я� !� ܛ��L�76-�^� u ��� � D O^�N)ړ � 6R2y~"@=�=�+&
y@m 
N����W'$��DXh
�']i�#�c ��* ��:�\iI��pb�k���ؘB��*5�^���(�  �P2�Pf
�VLJ�2�v`$ �Zc:A��� ��d�%�H 0 �U���Uj��]V��Z�p��� 9 ��3�[iz �ؔ�(����z�4˔�F� ���X�'"^�`O�5�[MSO �m � ^� � F� Q�ƾ� ���޺ �M���ݭ�_7��:�� zz=E�)� 3�  �]b��&4�P�J�hl�N0� @�?���
ދ0Ѣ�M �4a��՚� ���b K+@^�B/�$֙��Ő o��UkBR	����zV #j<~v � � � ֍<Lm��9 �LY ��V� �Q( `B,E�a4YVm���  N��?  U��
3E>V  / n4-���* �� ��6�ɥ| )�#q �LS�:~�
�Y.@�ZQ�� ����]{� �� R �
���   � #Ɨ��.o�^��\��w❸X���F�^�> )�i���hը�=G��I�*��  �oy��)-�v�Er �s    H�����( �� � ݺV���t|�n)� ��.ؼM�����Z �����F؈��JK�	`7I&֍~ Z4�kC[ȷ#/� �GX�W`�02 �L �J� �m�&�&�=��O��ڂ� � /H0 r �`6� 5�]   Y�+s �T��0 � �-�MjT �B��@�Q D&'�y�2�0�� � ���+7/Ϗ�
... (truncated)

Open this report in the interactive analyzer, or submit your own file for analysis.