Detección de Malware Sin Archivo: Ataques AveMariaRAT / BitRAT / PandoraHVNC
Tabla de contenidos:
Los ciberdelincuentes están apuntando a usuarios de Microsoft Windows con tres cepas de malware sin archivo utilizadas a la vez en una nueva campaña de phishing. El correo de phishing imita un informe de pago de una fuente confiable, con una breve solicitud para ver un documento adjunto de Microsoft Excel. El archivo contiene macros armadas y, una vez lanzado, despliega el malware destinado a robar los datos sensibles de la víctima. Los adversarios distribuyen las siguientes formas de malware: BitRAT, PandoraHVNC y AveMariaRAT.
Detectar Malware sin Archivo
Nuestro conocido desarrollador de Threat Bounty Emir Erdogan lanzó una regla Sigma para ayudarte a identificar si fuiste afectado por una de las tres muestras de malware sin archivo desplegadas por un correo de phishing vía process_creation:
Detección de AveMariaRAT / BitRAT y PandoraHVNC vía process_creation
La detección está disponible para las 23 plataformas SIEM, EDR & XDR, alineada con el último marco de trabajo de MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Interprete de Comandos y Scripts (T1059) y Tarea/Trabajo Programado (T1053) como las técnicas principales.
Únete al Programa Threat Bounty para obtener acceso completo al único Mercado de Detección de Amenazas donde los investigadores monetizan su contenido. Mejora tu arsenal de seguridad con elementos de contenido de detección cruzados entre vendedores y herramientas, adaptados a más de 25 tecnologías SIEM, EDR y XDR líderes en el mercado: haz click en Ver Detecciones botón para obtener acceso instantáneo a la rica biblioteca de algoritmos de detección de SOC Prime.
Ver Detecciones Únete a Threat Bounty
Descripción de Malware sin Archivo
Investigadores de Fortinet compartieron los resultados de su investigación de una serie de ataques de phishing que afectan a usuarios de Microsoft Windows. En esta campaña de phishing, los actores de amenaza enviaron un informe de pago fraudulento, disfrazándose como una fuente confiable, phishing con un documento malicioso de Microsoft Excel. El objetivo es atraer a los destinatarios del correo a descargar el archivo cargado con macros. Una vez que la potencial víctima lo abre, Office muestra una advertencia de seguridad, recomendando desactivar las macros. Si el usuario ignora la recomendación y habilita las macros, se abre un camino para la penetración del malware.
El malware se recupera e instala en la PC de la víctima usando scripts VBA y PowerShell. Este código tiene tres segmentos de código: los tres tipos de malware. Los objetivos que caen en el ataque reciben tres cepas de malware sin archivo, que son AveMariaRAT, BitRAT y PandoraHVNC. El malware se utiliza para robar información confidencial y realizar otras tareas maliciosas.
Actualmente, el uso de macros maliciosas está en aumento. Con soluciones de defensa cibernética proactiva proporcionadas por SOC Prime, los equipos de seguridad aumentan las posibilidades de detección eficiente y mitigación oportuna de infracciones. Combate las amenazas cibernéticas que evaden tus soluciones de seguridad con más de 185,000 reglas de detección, parsers, consultas de búsqueda y otros elementos de contenido enriquecidos con CTI, referencias MITRE ATT&CK, descripciones CVE y más información contextual relevante, todo disponible en el Mercado de Detección de Amenazas repositorio de la plataforma de SOC Prime.
Los aspirantes y profesionales especialistas en SOC también son bienvenidos a acceder a la Biblioteca Cibernética para dominar sus habilidades en SIEM, ver videos educativos profundos, y ponerse al día con guías prácticas sobre Caza de Amenazas.
