La publicación de hoy está dedicada al malware cargador Himera que los adversarios han estado usando en campañas de phishing relacionadas con COVID-19 desde el mes pasado. Los ciberdelincuentes continúan explotando las solicitudes de la Ley de Licencia Familiar y Médica relacionadas con las pandemias de COVID19 en curso como señuelo, ya que este tema ya ha demostrado su eficacia en la distribución de Trickbot y Kpot info stealer.
En campañas recientes, los correos electrónicos fueron armados con dos herramientas universales de ciberdelincuentes: Himera y Absent-Loader. Esta semana Osman Demir lanzó una regla de caza de amenazas de la comunidad para detectar muestras de carga de Himera relacionadas con estas campañas: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1
En esta campaña, los adversarios no aprovechan ningún tipo de macro o exploit en el documento maligno, en cambio, el documento contiene el ejecutable completo dentro de él como un objeto incrustado. Himera loader se especializa en cargar el código de malware de la siguiente etapa en la máquina de la víctima. Realiza algunos trucos clásicos de evasión de análisis utilizando la API de Windows para evitar revelar la carga útil principal a los investigadores y mantener la campaña en secreto durante más tiempo.
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Ejecución
Técnicas: Ejecución de Usuario (T1204)
