Derin Analiz - Word VBA Macro Dropper | Tehdit: ORTA

Dosya Kimligi

SHA25658e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
Boyut243,080 byte Microsoft Word 2007+ OOXML (.doc)
TipMalicious Word Document with VBA Macros

VBA Makro Varligi

VBA MAKRO: Belge acildiginda otomatik calisacak VBA makrosu iceriyor!
word/vbaProject.bin   <- VBA makro projesi (derlenenmis VBA kodu)\nword/vbaData.xml      <- VBA veri baglantilari\nword/vbaProject.bin.rels <- VBA referanslari\n\nModul Adlari (gizlenmis):\n  mpn_F2Jws           <- gizlenmis modul ismi\n  jPWM1x5r_W_n_4m1l_6 <- gizlenmis Sub rutini

Gizleme Teknikleri

CreateObject          <- VBA dropper ana API (WScript.Shell, Shell vb.)\n\nString gizleme:\n  (122) & %           <- Chr(122) ile karakter birletirme\n  KVVQk / PcmyEdZq    <- anlamsiz degisken isimleri\n  _Vo_CK_9 / vILzF7q_ <- tek harf olmayan rastgele isimler\n\nAnti-Analiz:\n  Loop filler         <- sahte kod bloklari (analizi yavaslat)\n  Loop filler         <- tekrarlanan sahte yorum satirlari\n  dgdffhg  vbnc  gfh vcbcvx vbcbcvv <- sahte dummy kod

Neden Tehlikeli?

Word belgesi acildiginda:\n  1. "Makrolar Etkinlestir" butonu tiklanirsa\n  2. jPWM1x5r Sub rutini calisir\n  3. CreateObject ile Shell olusturulur\n  4. URL/payload encode edilmis stringden cozulup indirilir\n\nHedef: Office 2007-2019 (OOXML formatini destekleyen herhangi Office)

IOC

SHA25658e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
TipWord 2007+ OOXML VBA Makro Dropper
APICreateObject (VBA Shell/WScript)
GizlemeChr() birlesimi, Loop filler, rastgele isim

WordVBAMacro — Malware Profile

Microsoft Word OOXML belgesi icerisine gomulmus VBA makro dropper. CreateObject API ile Shell olusturma. Chr() karakter birlestirme ile string gizleme. Loop filler sahte kod bloklari ile anti-analiz. Gizlenmis modul/Sub ismi.

Malware Type
Loader
Programming Language
VBA
C2 Protocol
custom
Target Systems
Kuresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — WordVBAMacro
# SHA256 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
TypeValueNote
sha256 58e3a3cd1bde298004bff75db60ebfe13f2dc9ee17d8c80f7c249651bc27900b
Tags
word-vba-macro-dropper-ooxmlvbaproject-bin-compiled-vba-codecreateobject-wscript-shell-dropperchr122-string-char-concatenation-obfuscationloop-filler-fake-code-anti-analysisobfuscated-sub-routine-namesrandom-variable-name-obfuscationword-2007-2019-office-macro-attackvbadata-xml-vba-referencesoffice-macro-enable-social-engineering