Contenido de Detección: Campaña del Ladrón de Información Kpot

[post-views]
mayo 21, 2020 · 2 min de lectura
Contenido de Detección: Campaña del Ladrón de Información Kpot

COVID-19 es, con mucho, el tema más popular explotado por los ciberdelincuentes en campañas de phishing y malspam. Recientemente, los atacantes han encontrado una manera nueva y efectiva de convencer al usuario para que abra un archivo adjunto malicioso. Investigadores de IBM X-Force descubrieron una campaña maliciosa que utilizaba correos electrónicos que pretendían ser mensajes del Departamento de Trabajo de los EE.UU. Los adversarios abusaron del tema de la Ley de Ausencia Familiar y Médica, que otorga a los empleados el derecho a beneficios por ausencia médica, para convencer a los usuarios de instalar malware en sus sistemas. A finales de abril, los ciberdelincuentes difundieron el infame malware TrickBot a través de esta campaña. Les resultó tan bien que algún otro grupo decidió repetir su éxito y comenzó a usar correos electrónicos similares para distribuir el robador de información Kpot.

Kpot info stealer es una familia de malware de tipo commodity que ha sido usada en ataques durante más de 2 años. El malware obtuvo su nombre de una cadena presente públicamente en el Panel de Administración. Puede exfiltrar información de cuentas y otros datos sensibles de navegadores web, mensajería instantánea, correo electrónico, VPN, RDP, FTP, criptomonedas y software de videojuegos. 

La regla exclusiva de Osman Demir detecta la instalación del malware Kpot y sus comunicaciones con los servidores C&C: https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Acceso Inicial

Técnicas: Adjuntos de Spearphishing (T1193)

Más reglas para detectar esta amenaza:

Comportamiento de KPOT (detección Sysmon) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Descargador de Powershell (Malware KPOT) por Emir Erdogan – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

Ver todas las reglas de Osman Demir en TDM: especifique el autor en el panel de Filtros, o use la opción de búsqueda con consulta Lucene para buscar (tags.author:Osman Demir). 

https://tdm.socprime.com/?authors[]=Osman+Demir

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko