Derin Analiz - Word VBA Macro Dropper | Tehdit: MOYEN

Fichier Kimligi

SHA25658e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
Taille243,080 byte Microsoft Word 2007+ OOXML (.doc)
TipMalicious Word Document with VBA Macros

VBA Makro Varligi

VBA MAKRO: Belge acildiginda otomatik calisacak VBA makrosu iceriyor!
word/vbaProject.bin   <- VBA makro projesi (derlenenmis VBA kodu)\nword/vbaData.xml      <- VBA veri baglantilari\nword/vbaProject.bin.rels <- VBA referanslari\n\nModul Adlari (gizlenmis):\n  mpn_F2Jws           <- gizlenmis modul ismi\n  jPWM1x5r_W_n_4m1l_6 <- gizlenmis Sub rutini

Gizleme Teknikleri

CreateObject          <- VBA dropper ana API (WScript.Shell, Shell vb.)\n\nString gizleme:\n  (122) & %           <- Chr(122) ile karakter birletirme\n  KVVQk / PcmyEdZq    <- anlamsiz degisken isimleri\n  _Vo_CK_9 / vILzF7q_ <- tek harf olmayan rastgele isimler\n\nAnti-Analiz:\n  Loop filler         <- sahte kod bloklari (analizi yavaslat)\n  Loop filler         <- tekrarlanan sahte yorum satirlari\n  dgdffhg  vbnc  gfh vcbcvx vbcbcvv <- sahte dummy kod

Neden Tehlikeli?

Word belgesi acildiginda:\n  1. "Makrolar Etkinlestir" butonu tiklanirsa\n  2. jPWM1x5r Sub rutini calisir\n  3. CreateObject ile Shell olusturulur\n  4. URL/payload encode edilmis stringden cozulup indirilir\n\nHedef: Office 2007-2019 (OOXML formatini destekleyen herhangi Office)

IOC

SHA25658e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
TipWord 2007+ OOXML VBA Makro Dropper
APICreateObject (VBA Shell/WScript)
GizlemeChr() birlesimi, Loop filler, rastgele isim

WordVBAMacro — Profil du malware

Microsoft Word OOXML belgesi icerisine gomulmus VBA makro dropper. CreateObject API ile Shell olusturma. Chr() karakter birlestirme ile string gizleme. Loop filler sahte kod bloklari ile anti-analiz. Gizlenmis modul/Sub ismi.

Type de malware
Loader
Langage de programmation
VBA
Protocole C2
custom
Systèmes ciblés
Kuresel

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — WordVBAMacro
# SHA256 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
TypeValeurNote
sha256 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
Tags
word-vba-macro-dropper-ooxmlvbaproject-bin-compiled-vba-codecreateobject-wscript-shell-dropperchr122-string-char-concatenation-obfuscationloop-filler-fake-code-anti-analysisobfuscated-sub-routine-namesrandom-variable-name-obfuscationword-2007-2019-office-macro-attackvbadata-xml-vba-referencesoffice-macro-enable-social-engineering