Office (OOXML) malware analysis — malicious · c76bb9443baff9e7

MALICIOUS

Office (OOXML)

249.7 KB Created: 2021-04-07 06:31:40 UTC Authoring application: Microsoft Excel 16.0300 First seen: 2021-11-20

MD5: e1edead6d69e4c33cf44904ef2bd0b0f SHA-1: e357ddf5ece78bac5666462c264a736230ef239f SHA-256: c76bb9443baff9e799b3b1cd7c4bd18759ff17acf50f2c3e6f9970caf3015a8f

120 Risk Score

Malware Insights

MITRE ATT&CK

T1059.005 Visual Basic T1203 Exploitation for Client Execution

The sample contains Excel 4.0 macros that are designed to reassemble and execute a payload. Specifically, the macros use `certutil -decode` to decode a payload and save it as `Kernel32WinExecJCJcmd.exe` in the public user directory. This indicates a downloader or dropper functionality.

Heuristics 2

Excel 4.0 macro sheet (1 sheet(s)) critical 1 related finding OOXML_XLM_MACROSHEET

Spreadsheet contains an Excel 4.0 (XLM) macro sheet — XLM was a major Office malware vector during 2020-2022 and evaded many VBA-focused controls before Microsoft tightened XLM defaults. Even legitimate XLM use is rare in modern workbooks. The macro sheet is stored as XLSB/BIFF12 binary content, which many XML-only OOXML scanners miss.
XLM payload reassembled from CHAR()/split formulas critical OOXML_XLM_REASSEMBLED_PAYLOAD

An Excel 4.0 macro sheet builds its payload inside the formula token stream by concatenating per-character CHAR() calls and string fragments, so no WinAPI name, shell command, or URL is ever contiguous in the .bin for a literal-bytes scan to find. Reassembling the formulas recovered download/execute API names, LOLBin commands (regsvr32/rundll32/mshta/wmic/powershell), or a payload URL — the de-obfuscated download-and-run kill chain.

Extracted artifacts 1

Files carved from inside the sample during analysis.

Filename Kind Source Size

xlm_sheet_00.bin xlm-macrosheet OOXML XLM macro sheet: xl/macrosheets/sheet1.bin 2411 bytes

Filename	Kind	Source	Size
`xlm_sheet_00.bin`	xlm-macrosheet	OOXML XLM macro sheet: xl/macrosheets/sheet1.bin	2411 bytes
SHA-256: `ca340cc9cdd68012fc2ece04eaf439a02170ea63ba1979519bba447977a9bd9c`
Preview script First 1,000 lines of the extracted script � � � @ �� E � % �� & � � @ d � $ � � % �� & � �� , � < % < $ < � � � % �� & , , �? B % �� & , e C : \ U s e r s \ P u b l i c \ 1 4 1 1 8 % Z �Z & � Z 0 � D � % �� & , # ��@ Z ( � ) . x l s b Z 0 � % �� & , I 6 Z �Z & � Z 0 � D � Z < � B � % �� & , ' . d o y Z < � % �� & , ' . b i y Z G � % �� & , F 3 Z �Z & � Z 0 � D � Z 0 � B � % �� & , " F o r m B �� % �� & , D � B � % �� & , 2 AJ 0 0 : 0 0 : 0 3 B �� % �� & * , � u K Ao e Ao r Ao n Ao e Ao l Ao 3 Ao 2 Ao W Ao i Ao n Ao E Ao x Ao e Ao c Ao J Ao C Ao J Ao c Ao m Ao d Ao . Ao e Ao x Ao e Ao Ao / Ao c Ao Ao c Ao e Ao r Ao t Ao u Ao t Ao i Ao l Ao Ao - Ao d Ao e Ao c Ao o Ao d Ao e Ao Ao % Ao P Ao U Ao B Ao L Ao I Ao C Ao % Ao \ Ao D � Z < � Ao % Ao P Ao U Ao B Ao L Ao I Ao C Ao % Ao \ Ao D � Z G � Z X � Z m � Z e � Z o � % Ao P Ao U Ao B Ao L Ao I Ao C Ao % Ao \ Ao D � Z G � Z � � B � % �� & + , @% �� & E , B 6 � � � �� @ [� ��_閂T�s>\|ZJ� ��Y� �O��@�@��=� ߻�� <��?�� ɡ� ��)� � ��7r ��\| S H A - 5 1 2 � B � 0t� 0ffffff�?ffffff�? �? �?333333�?333333�?% �� tI L-C�b ͈�N�& �

SHA-256: ca340cc9cdd68012fc2ece04eaf439a02170ea63ba1979519bba447977a9bd9c

Preview script

First 1,000 lines of the extracted script

�  �  �   @      ��������    �      E           �  %      ��                  & �  �             @   d           � $                                    �  �  %      ��    & �  ����  ,     �  <          %        <         $	        <         �
        �  �  %      ��    &           ,                	,              �?                    B       %      ��    &           ,                 e            C : \ U s e r s \ P u b l i c \ 1 4 1 1 8   %   Z       �Z  &    � Z  0    � D     �     %      ��    &           ,                	#             ��@  	   Z  (    �     )            . x l s b   	   Z  0    �    %      ��    &           ,                
I           6   Z       �Z  &    � Z  0    � D     � Z  <    �    B  �    %      ��    &           ,                 '            . d o y   	   Z  <    �    %      ��    &           ,                 '            . b i y   	   Z  G    �    %      ��    &           ,                
F           3   Z       �Z  &    � Z  0    � D     � Z  0    � B  �    %      ��    &           ,                
"                  F o r m B ��    %      ��    &           ,                
            
   D     �  B  �    %      ��    &           ,                
2                   AJ    0 0 : 0 0 : 0 3  B ��    %      ��    &   *       ,                
�            u    K Ao  e Ao   r Ao   n Ao   e Ao   l Ao   3 Ao   2 Ao   W Ao  i Ao   n Ao   E Ao   x Ao   e Ao   c Ao   J Ao  C Ao   J Ao   c Ao  m Ao   d Ao   . Ao   e Ao   x Ao   e Ao     Ao   / Ao   c Ao     Ao   c Ao   e Ao   r Ao   t Ao   u Ao   t Ao   i Ao   l Ao     Ao   - Ao   d Ao   e Ao   c Ao   o Ao   d Ao   e Ao     Ao   % Ao   P Ao   U Ao   B Ao   L Ao   I Ao   C Ao   % Ao   \ Ao  D     � Z  <    �    Ao   % Ao   P Ao   U Ao   B Ao   L Ao   I Ao   C Ao   % Ao   \ Ao  D     � Z  G    � Z  X    � Z  m   	� Z  e   	� Z  o    �  % Ao   P Ao   U Ao   B Ao   L Ao   I Ao   C Ao   % Ao   \ Ao  D     � Z  G    � Z  �    �        B �     %      ��    &   +       ,                             @%      ��    &   E       ,                
                B 6     �  � � ��                                                                  @   [� ��_閂T�s>|ZJ� ���Y� �O���@�@��=� ߻�� ��<��?���� ���ɡ�    ��)� � ���7r ��|    S H A - 5 1 2 � B                                                                  �  0t� 0ffffff�?ffffff�?      �?      �?333333�?333333�?%      ��  ��tI	L-C�b ͈�N�& �

Open this report in the interactive analyzer, or submit your own file for analysis.