Malware authors will often hide strings (like URLs) or even a full payload as property values of VBA forms. The stream that contains this information can be easily recognized with oledump.py, the name ends with /o:

ข้อมูลในส่วนนี้ถูกซ่อนไว้ (คุณต้องสมัครสมาชิกและมี 1 โพส}:
คุณมีสิทธิไม่เพียงพอในการดูข้อมูลที่ถูกซ่อน