Bedrohungsjagd-Regeln: PurpleWave Infostealer

Ein weiterer Infostealer mit Backdoor-Funktionen wurde Ende Juli entdeckt. Malware-Autoren werben in russischen Cybercrime-Foren dafür und verkaufen verschiedene Modifikationen der Utility zu einem erschwinglichen Preis. Der neue Infostealer ist in C++ geschrieben und wurde von seinen Autoren PurpleWave genannt. 

Die Malware kann eine Reihe von bösartigen Aktionen ausführen, die ein Hacker auf dem angegriffenen System auswählt. Die Hauptfunktion des Infostealers ist das Stehlen von Passwörtern, Cookies, Karten, Autofill-Daten und Browserverlauf. PurpleWave kann auch Dateien vom angegebenen Pfad sammeln, Screenshots erstellen, Systeminformationen sammeln und exfiltrieren, Telegram-Sitzungsdateien, Steam-Anwendungsdaten und Kryptowährungs-Wallet-Daten stehlen. Seine Backdoor-Funktionen beinhalten das Herunterladen und Ausführen zusätzlicher Module und Malware. Es ist derzeit unbekannt, welche Module diese Malware enthält, aber sie befindet sich in den frühen Entwicklungsstadien, und ihre Autoren werden höchstwahrscheinlich sowohl neue Funktionen als auch zusätzliche Fähigkeiten für verdeckte Operationen hinzufügen.

Community Threat Hunting Rule entwickelt von Osman Demir hilft, PurpleWave Infostealer in frühen Stadien zu erkennen, bevor Schaden zugefügt wird: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Command and Control, Credential Access

Techniken: Credentials from Web Browsers (T1503), Standard Application Layer Protocol (T1071), Steal Web Session Cookie (T1539)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.