Detección de SYK Crypter: Malware NET. que Propaga un Conjunto de RATs a través de Discord
Tabla de contenidos:
A medida que Discord gana una popularidad extrema entre las comunidades de usuarios en línea, con 150 millones de personas utilizándolo hasta 2021, los hackers centran su atención en esta plataforma de chat, VoIP y distribución digital. La posible superficie de ataque es vasta y prometedora, permitiendo a los actores de amenazas abusar de Discord para la distribución de malware y otras acciones nefastas.
Recientemente, los investigadores de seguridad han revelado otro malware que explota la cadena de ataques en tendencia de Discord. En particular, los hackers abusan de la CND (Red de Distribución de Contenidos) de Discord para desplegar un enjambre de troyanos de acceso remoto con la ayuda de un nuevo encriptador SYK.
Detectar el Encriptador SYK
Detectar la actividad maliciosa asociada al malware evasivo en alto grado SYK al aprovechar una regla Sigma dedicada proporcionada por nuestro prolífico autor de Threat Bounty Osman Demir. Accede a la regla Sigma traducida en 23 formatos SIEM, EDR & XDR a través del enlace a continuación:
Ejecución sospechosa del Encriptador Syk con PowerShell (a través de cmdline)
Para acceder a más contenido de detección curado que aborda las amenazas emergentes y obtener el contexto completo enriquecido con referencias MITRE ATT&CK, enlaces CTI, y otros metadatos valiosos, te invitamos a explorar el repositorio del Threat Detection Marketplace impulsado por la plataforma Detection as Code de SOC Prime.
¿Eres un profesional establecido en ciberseguridad, cazando amenazas e ingeniería de detección? Monetiza tus habilidades avanzadas participando en nuestro Programa de Recompensas por Amenazas. Envía tus reglas Sigma, Yara o Snort, publícalas en nuestra plataforma y recibe pagos repetidos mientras contribuyes a la defensa cibernética colaborativa.
Ver Detecciones Unirse a Threat Bounty
Cadena de Ataque del Encriptador SYK
Según la investigación de Morphisec, los operadores del Encriptador SYK no han perdido la oportunidad de aprovechar una popular cadena de ataques de Discord para la distribución de malware. En mayo de 2022, los expertos en seguridad reportaron múltiples infecciones del Encriptador SYK realizadas con la ayuda del CND de Discord.
Particularmente, el ataque comienza con un correo electrónico de phishing que contiene un archivo malicioso adjunto. El archivo se hace pasar por una orden de compra legítima, pero si se abre, desencadena la cadena de infección. En la primera etapa, DNetLoader se instala en la máquina de la víctima para conectarse a un endpoint CND de Discord codificado y descargar los archivos encriptados. Posteriormente, el encriptador SYK entra en acción, descifrando la carga final almacenada como un recurso PE. Una investigación adicional revela que el SYK despliega múltiples troyanos de acceso remoto y ladrones, incluyendo WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealer, y más.
Análisis del Encriptador SYK
Según los expertos de Morphisec, el encriptador SYK es una amenaza innovadora que aprovecha una amplia gama de técnicas evasivas para superar a los defensores cibernéticos y evadir los controles de seguridad basados en firmas y comportamiento. Específicamente, SYK puede detectar y superar las soluciones AV, verificar entornos de depuración, ganar persistencia a través de la carpeta de inicio y ejecutar la carga útil utilizando la técnica de proceso oclusivo.
Los esfuerzos interminables para ajustar las defensas contra las últimas amenazas parecen desafiantes. Con la plataforma Detection as Code de SOC Prime impulsada por la defensa cibernética colaborativa, puedes aumentar significativamente tus capacidades de detección de amenazas y la velocidad de caza de amenazas, superando y sobrepasando a los adversarios.
