Immortal Stealer

Diese Woche, Lee Archinal, der Contributor des Threat Bounty Programms, hat eine Community Sigma-Regel zum Erkennen eines weiteren Infostealers gepostet. Die Regel „Immortal Stealer (Sysmon Behavior)“ ist nach der Registrierung im Threat Detection Marketplace zum Download verfügbar: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1

Der Immortal Infostealer tauchte vor etwas mehr als einem Jahr in den Foren des Dark Web mit verschiedenen auf Bauen basierenden Abonnements auf. Dies ist eine übliche Malware, die in .NET geschrieben ist und darauf ausgelegt ist, gespeicherte Anmeldeinformationen und Kreditkartendaten, Cookie-Dateien und Autovervollständigungsdaten zu stehlen. Direkt nach der Infektion erstellt die Malware ein Verzeichnis mit einem zufälligen Namen in einem temporären Ordner. 

Der Immortal Stealer ist in der Lage, Daten aus 24 Browsern zu extrahieren, sitzungsbezogene Dateien von Telegram und Discord zu stehlen, Dateien im Zusammenhang mit Kryptowährungs-Wallet-Software zu kopieren und Screenshots des Desktops zu machen. Wenn der „Job“ erledigt ist, komprimiert die Malware die gestohlenen Daten in einem ZIP-Archiv, exfiltriert es an den Command-and-Control-Server und versucht, Spuren der bösartigen Aktivität zu löschen.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Verteidigung Umgehen

Techniken: Dateilöschung (T1107), Registrierung ändern (T1112)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei , um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.