Contenido de Caza de Amenazas: Detección de Taurus Stealer

El malware Taurus que roba información es una herramienta relativamente nueva creada por el equipo Predator The Thief que la promociona en foros de hackers. El infostealer puede robar datos sensibles de navegadores, billeteras de criptomonedas, FTP, clientes de correo electrónico y varias aplicaciones. El malware es altamente evasivo e incluye técnicas para evadir la detección en sandbox. Los adversarios desarrollaron un panel de control donde sus clientes pueden monitorear el conteo de infecciones según las ubicaciones geográficas. Este panel también proporciona al atacante la capacidad de personalizar la configuración de Taurus.

Una herramienta económica y efectiva no ha pasado desapercibida para los ciberdelincuentes, y desde principios de junio, los investigadores han estado rastreando campañas maliciosas que distribuyen Taurus Infostealer. Los adversarios envían correos electrónicos de spam con un documento adjunto que contiene un código macro malicioso para descargar más cargas útiles. Si el usuario habilita la macro, se llama a una subrutina AutoOpen() que ejecutará la macro VBA maliciosa ejecutando un script de PowerShell a través de BitsTransfer para descargar tres archivos diferentes del sitio de Github y guardarlos en una carpeta Temp con nombres predefinidos. 

Regla Sigma exclusiva de caza de amenazas por Osman Demir permite a las soluciones de seguridad detectar el malware Taurus durante su proceso de instalación: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Evasión de Defensa, Ejecución

Técnicas: PowerShell (T1086), Scripting (T1064)