Diese Woche, Lee Archinal, der Contributor des Threat Bounty Programms, hat eine Community Sigma-Regel zum Erkennen eines weiteren Infostealers gepostet. Die Regel „Immortal Stealer (Sysmon Behavior)“ ist nach der Registrierung im Threat Detection Marketplace zum Download verfügbar: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1
Der Immortal Infostealer tauchte vor etwas mehr als einem Jahr in den Foren des Dark Web mit verschiedenen auf Bauen basierenden Abonnements auf. Dies ist eine übliche Malware, die in .NET geschrieben ist und darauf ausgelegt ist, gespeicherte Anmeldeinformationen und Kreditkartendaten, Cookie-Dateien und Autovervollständigungsdaten zu stehlen. Direkt nach der Infektion erstellt die Malware ein Verzeichnis mit einem zufälligen Namen in einem temporären Ordner.
Der Immortal Stealer ist in der Lage, Daten aus 24 Browsern zu extrahieren, sitzungsbezogene Dateien von Telegram und Discord zu stehlen, Dateien im Zusammenhang mit Kryptowährungs-Wallet-Software zu kopieren und Screenshots des Desktops zu machen. Wenn der „Job“ erledigt ist, komprimiert die Malware die gestohlenen Daten in einem ZIP-Archiv, exfiltriert es an den Command-and-Control-Server und versucht, Spuren der bösartigen Aktivität zu löschen.
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Verteidigung Umgehen
Techniken: Dateilöschung (T1107), Registrierung ändern (T1112)
Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei , um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.
