Reglas de Caza de Amenazas: Infostealer PurpleWave

Otro Infostealer con funciones de puerta trasera fue descubierto a finales de julio. Los autores del malware lo anuncian en foros de ciberdelincuencia rusos y venden varias modificaciones de la utilidad a un precio asequible. El nuevo Infostealer está escrito en C++ y fue apodado PurpleWave por sus autores. 

El malware puede realizar varias acciones maliciosas a elección de un hacker en el sistema atacado. La función principal del Infostealer es robar contraseñas, cookies, tarjetas, datos de autocompletado y el historial del navegador. PurpleWave también puede recopilar archivos de la ruta especificada, tomar capturas de pantalla, reunir y exfiltrar información del sistema, robar archivos de sesión de Telegram, datos de la aplicación Steam y datos de billeteras de criptomonedas. Sus funciones de puerta trasera incluyen descargar y ejecutar módulos y malware adicionales. Actualmente se desconoce qué módulos tiene este malware, pero está en las etapas iniciales de desarrollo, y es muy probable que sus autores agreguen tanto nuevas funciones como capacidades adicionales para operaciones encubiertas.

Regla de caza de amenazas comunitaria desarrollada por Osman Demir ayuda a detectar PurpleWave Infostealer en etapas tempranas antes de que se cause daño: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Comando y Control, Acceso a Credenciales

Técnicas: Credenciales de Navegadores Web (T1503), Protocolo de Capa de Aplicación Estándar (T1071), Robar Cookies de Sesión Web (T1539)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.