Contenido de Caza de Amenazas: Detección de Taurus Stealer

[post-views]
julio 01, 2020 · 2 min de lectura
Contenido de Caza de Amenazas: Detección de Taurus Stealer

El malware Taurus que roba información es una herramienta relativamente nueva creada por el equipo Predator The Thief que la promociona en foros de hackers. El infostealer puede robar datos sensibles de navegadores, billeteras de criptomonedas, FTP, clientes de correo electrónico y varias aplicaciones. El malware es altamente evasivo e incluye técnicas para evadir la detección en sandbox. Los adversarios desarrollaron un panel de control donde sus clientes pueden monitorear el conteo de infecciones según las ubicaciones geográficas. Este panel también proporciona al atacante la capacidad de personalizar la configuración de Taurus.

Una herramienta económica y efectiva no ha pasado desapercibida para los ciberdelincuentes, y desde principios de junio, los investigadores han estado rastreando campañas maliciosas que distribuyen Taurus Infostealer. Los adversarios envían correos electrónicos de spam con un documento adjunto que contiene un código macro malicioso para descargar más cargas útiles. Si el usuario habilita la macro, se llama a una subrutina AutoOpen() que ejecutará la macro VBA maliciosa ejecutando un script de PowerShell a través de BitsTransfer para descargar tres archivos diferentes del sitio de Github y guardarlos en una carpeta Temp con nombres predefinidos. 

Regla Sigma exclusiva de caza de amenazas por Osman Demir permite a las soluciones de seguridad detectar el malware Taurus durante su proceso de instalación: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Evasión de Defensa, Ejecución

Técnicas: PowerShell (T1086), Scripting (T1064)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas