Derin Analiz - Word VBA Macro Dropper | Tehdit: ORTA
Dosya Kimligi
| SHA256 | 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b |
|---|---|
| Boyut | 243,080 byte Microsoft Word 2007+ OOXML (.doc) |
| Tip | Malicious Word Document with VBA Macros |
VBA Makro Varligi
VBA MAKRO: Belge acildiginda otomatik calisacak VBA makrosu iceriyor!
word/vbaProject.bin <- VBA makro projesi (derlenenmis VBA kodu)\nword/vbaData.xml <- VBA veri baglantilari\nword/vbaProject.bin.rels <- VBA referanslari\n\nModul Adlari (gizlenmis):\n mpn_F2Jws <- gizlenmis modul ismi\n jPWM1x5r_W_n_4m1l_6 <- gizlenmis Sub rutini
Gizleme Teknikleri
CreateObject <- VBA dropper ana API (WScript.Shell, Shell vb.)\n\nString gizleme:\n (122) & % <- Chr(122) ile karakter birletirme\n KVVQk / PcmyEdZq <- anlamsiz degisken isimleri\n _Vo_CK_9 / vILzF7q_ <- tek harf olmayan rastgele isimler\n\nAnti-Analiz:\n Loop filler <- sahte kod bloklari (analizi yavaslat)\n Loop filler <- tekrarlanan sahte yorum satirlari\n dgdffhg vbnc gfh vcbcvx vbcbcvv <- sahte dummy kod
Neden Tehlikeli?
Word belgesi acildiginda:\n 1. "Makrolar Etkinlestir" butonu tiklanirsa\n 2. jPWM1x5r Sub rutini calisir\n 3. CreateObject ile Shell olusturulur\n 4. URL/payload encode edilmis stringden cozulup indirilir\n\nHedef: Office 2007-2019 (OOXML formatini destekleyen herhangi Office)
IOC
| SHA256 | 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b |
|---|---|
| Tip | Word 2007+ OOXML VBA Makro Dropper |
| API | CreateObject (VBA Shell/WScript) |
| Gizleme | Chr() birlesimi, Loop filler, rastgele isim |
WordVBAMacro — Malware Profile
Microsoft Word OOXML belgesi icerisine gomulmus VBA makro dropper. CreateObject API ile Shell olusturma. Chr() karakter birlestirme ile string gizleme. Loop filler sahte kod bloklari ile anti-analiz. Gizlenmis modul/Sub ismi.
Malware Type
Loader
Programming Language
VBA
C2 Protocol
custom
Target Systems
Kuresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — WordVBAMacro
# SHA256
58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
| Type | Value | Note |
|---|---|---|
| sha256 | 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b |