Contenido de Detección: Campaña del Ladrón de Información Kpot

Eugene Tkachenko Líder del Programa Comunitario

Add to my AI research

COVID-19 es, con mucho, el tema más popular explotado por los ciberdelincuentes en campañas de phishing y malspam. Recientemente, los atacantes han encontrado una manera nueva y efectiva de convencer al usuario para que abra un archivo adjunto malicioso. Investigadores de IBM X-Force descubrieron una campaña maliciosa que utilizaba correos electrónicos que pretendían ser mensajes del Departamento de Trabajo de los EE.UU. Los adversarios abusaron del tema de la Ley de Ausencia Familiar y Médica, que otorga a los empleados el derecho a beneficios por ausencia médica, para convencer a los usuarios de instalar malware en sus sistemas. A finales de abril, los ciberdelincuentes difundieron el infame malware TrickBot a través de esta campaña. Les resultó tan bien que algún otro grupo decidió repetir su éxito y comenzó a usar correos electrónicos similares para distribuir el robador de información Kpot.

Kpot info stealer es una familia de malware de tipo commodity que ha sido usada en ataques durante más de 2 años. El malware obtuvo su nombre de una cadena presente públicamente en el Panel de Administración. Puede exfiltrar información de cuentas y otros datos sensibles de navegadores web, mensajería instantánea, correo electrónico, VPN, RDP, FTP, criptomonedas y software de videojuegos.

La regla exclusiva de Osman Demir detecta la instalación del malware Kpot y sus comunicaciones con los servidores C&C: https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Adjuntos de Spearphishing (T1193)

Más reglas para detectar esta amenaza:

Comportamiento de KPOT (detección Sysmon) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Descargador de Powershell (Malware KPOT) por Emir Erdogan – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

Ver todas las reglas de Osman Demir en TDM: especifique el autor en el panel de Filtros, o use la opción de búsqueda con consulta Lucene para buscar (tags.author:Osman Demir).

https://tdm.socprime.com/?authors[]=Osman+Demir

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore

Feb 11/2025 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko

Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas

Feb 5/2025 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko

Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware

Ene 31/2025 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko