Contenu de Détection : Arkei Stealer

Arkei Stealer est une variante de malware de type voleur d’informations et son fonctionnement est similaire à celui d’Azorult malware : il vole des informations sensibles, des identifiants de connexion, et des clés privées de portefeuilles de cryptomonnaie. Le malware est vendu sur des forums clandestins, et tout le monde peut acquérir et utiliser à la fois la version « légitime » et la version piratée d’Arkei Stealer, rendant difficile l’attribution des attaques. 

L’attaque cybernétique la plus bruyante utilisant ce voleur d’informations peut être considérée comme le piratage du compte GitHub d’un des développeurs de la cryptomonnaie Syscoin et la compromission du dépôt officiel du projet en 2018, lorsque les attaquants ont remplacé le client Windows officiel publié sur GitHub par une version malveillante avec l’Arkei Stealer intégré, qui est restée inaperçue pendant plusieurs jours. En 2019, ce malware a été activement propagé à l’aide de botnets, et plus récemment, il a été rapporté que le botnet Spamhaus continue de distribuer les dernières versions du voleur d’informations.

De nouveaux échantillons apparaissent régulièrement, et sur la base du malware récemment découvert, le participant au Programme Threat Bounty Lee Archinal a développé un contenu de détection pour découvrir la présence de la menace sur les systèmes Windows : https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Accès aux identifiants, Découverte

Techniques : Interface en ligne de commande (T1059), Extraction d’identifiants (T1003), Interrogation du registre (T1012)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.