Otro Infostealer con funciones de puerta trasera fue descubierto a finales de julio. Los autores del malware lo anuncian en foros de ciberdelincuencia rusos y venden varias modificaciones de la utilidad a un precio asequible. El nuevo Infostealer está escrito en C++ y fue apodado PurpleWave por sus autores.
El malware puede realizar varias acciones maliciosas a elección de un hacker en el sistema atacado. La función principal del Infostealer es robar contraseñas, cookies, tarjetas, datos de autocompletado y el historial del navegador. PurpleWave también puede recopilar archivos de la ruta especificada, tomar capturas de pantalla, reunir y exfiltrar información del sistema, robar archivos de sesión de Telegram, datos de la aplicación Steam y datos de billeteras de criptomonedas. Sus funciones de puerta trasera incluyen descargar y ejecutar módulos y malware adicionales. Actualmente se desconoce qué módulos tiene este malware, pero está en las etapas iniciales de desarrollo, y es muy probable que sus autores agreguen tanto nuevas funciones como capacidades adicionales para operaciones encubiertas.
Regla de caza de amenazas comunitaria desarrollada por Osman Demir ayuda a detectar PurpleWave Infostealer en etapas tempranas antes de que se cause daño: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Comando y Control, Acceso a Credenciales
Técnicas: Credenciales de Navegadores Web (T1503), Protocolo de Capa de Aplicación Estándar (T1071), Robar Cookies de Sesión Web (T1539)
¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.
