Ladrón Inmortal

Esta semana, Lee Archinal, el colaborador del Programa de Recompensas por Amenazas publicó una regla Sigma comunitaria para detectar otro ladrón de información. La regla «Immortal Stealer (Comportamiento Sysmon)» está disponible para descargar en el Mercado de Detección de Amenazas después de registrarse: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1

Immortal Infostealer apareció hace poco más de un año en los foros de la web oscura con diferentes suscripciones basadas en compilaciones. Este es un malware común escrito en .NET que está diseñado para robar credenciales de inicio de sesión guardadas y datos de tarjetas de crédito, archivos de cookies y datos de autocompletar. Justo después de la infección, el malware crea un directorio con un nombre aleatorio en una carpeta temporal. 

Immortal Stealer es capaz de extraer datos de 24 navegadores, robar archivos relacionados con sesiones de Telegram y Discord, copiar archivos relacionados con software de monederos de criptomonedas y tomar capturas de pantalla del escritorio. Cuando el «trabajo» está hecho, el malware comprime los datos robados en un archivo ZIP, los exfiltra al servidor de comando y control e intenta eliminar los rastros de la actividad maliciosa.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Evasión de Defensa

Técnicas: Eliminación de Archivos (T1107), Modificar Registro (T1112)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.