Regla de la Semana: Posible Archivo Malicioso con Doble Extensión

Los adversarios pueden enmascarar ejecutables maliciosos como imágenes, documentos o archivos, reemplazando los íconos de los archivos y agregando extensiones falsas a los nombres de los archivos. Estos archivos «elaborados» a menudo se utilizan como archivos adjuntos en correos electrónicos de phishing, y esta es una forma bastante efectiva de infectar sistemas Windows debido a la opción «Ocultar extensiones de tipos de archivo conocidos» habilitada de forma predeterminada para Windows XP y sistemas más nuevos. La extensión real del archivo está oculta por el sistema en el explorador de archivos y la mayoría de las aplicaciones que siguen las políticas del explorador de archivos del sistema. Si el correo electrónico de phishing convence al usuario de abrir el «documento», el malware se instala en el sistema, y luego el documento de engaño a menudo se descarga y ejecuta para que el usuario no sospeche nada.

Nuestro Equipo de SOC lanzó una regla exclusiva de Sigma que detecta el uso sospechoso de una extensión .exe después de una extensión de archivo no ejecutable como .pdf.exe, un conjunto de espacios o guiones bajos para ocultar el archivo ejecutable en campañas de phishing dirigidas: https://tdm.socprime.com/tdm/info/2FWv97nWNL5L/iea3vHEBv8lhbg_iMXqH/?p=1

La Detección de Amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnica: Adjuntos de Spearphishing (T1193)

A continuación, encuentre las 5 principales reglas comunitarias publicadas la semana pasada por los participantes en el Programa de Recompensas por Amenazas: https://socprime.com/en/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/