Contenido de Detección: Arkei Stealer

Arkei Stealer es una variante de malware infostealer y su funcionalidad es similar al malware Azorult: roba información sensible, credenciales y claves privadas de carteras de criptomonedas. El malware se vende en foros clandestinos, y cualquiera puede adquirir y usar tanto la versión «legítima» como la versión crackeada de Arkei Stealer, lo que dificulta atribuir los ataques. 

El ciberataque más ruidoso usando este infostealer puede considerarse el hackeo de la cuenta de GitHub de uno de los desarrolladores de la criptomoneda Syscoin y el compromiso del repositorio oficial del proyecto en 2018 cuando los atacantes reemplazaron el cliente oficial de Windows publicado en GitHub con una versión maliciosa con Arkei Stealer incorporado, que pasó desapercibida durante varios días. En 2019, este malware se propagó activamente usando botnets, y más recientemente se informó que Spamhaus Botnet continúa distribuyendo las últimas versiones del infostealer.

Aparecen nuevas muestras regularmente, y basado en la pieza de malware recientemente descubierta, el participante en el Programa de Recompensas por Amenazas Lee Archinal desarrolló contenido de detección para descubrir la presencia de la amenaza en sistemas Windows: https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Acceso a Credenciales, Descubrimiento

Técnicas: Interfaz de Línea de Comandos (T1059), Extracción de Credenciales (T1003), Consultar Registro (T1012)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.