Contenu de Détection : Campagne du Voleur d’Informations Kpot

La COVID-19 est de loin le sujet le plus exploité par les cybercriminels dans les campagnes de phishing et de malspam. Récemment, les attaquants ont trouvé un moyen nouveau et efficace de convaincre l’utilisateur d’ouvrir une pièce jointe malveillante. Les chercheurs d’IBM X-Force ont découvert une campagne malveillante qui utilisait des e-mails prétendant être des messages du Département du Travail des États-Unis. Les adversaires ont abusé du thème de la Loi sur le Congé Familial et Médical, qui donne aux employés le droit à des prestations de congé médical, pour convaincre les utilisateurs d’installer des logiciels malveillants sur leurs systèmes. À la fin du mois d’avril, les cybercriminels ont diffusé le tristement célèbre malware TrickBot par le biais de cette campagne. Cela a si bien fonctionné pour eux qu’un autre groupe a décidé de répéter leur succès et a commencé à utiliser des e-mails similaires pour distribuer le voleur d’informations Kpot.

Kpot info stealer est une famille de logiciels malveillants commerciaux qui est utilisée dans des attaques depuis plus de 2 ans. Le malware a obtenu son nom d’une chaîne présente publiquement sur le panneau d’administration. Il peut exfiltrer des informations de compte et d’autres données sensibles provenant des navigateurs Web, des messageries instantanées, de l’e-mail, des VPN, du RDP, du FTP, des cryptomonnaies et des logiciels de jeux. 

Une règle exclusive par Osman Demir détecte l’installation de malware Kpot et ses communications avec les serveurs de C&C : https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Accès Initial

Techniques : Pièce Jointe de Spearphishing (T1193)

Plus de règles pour détecter cette menace :

Comportement KPOT (détection Sysmon) par Ariel Millahuel – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Téléchargeur Powershell (malware KPOT) par Emir Erdogan – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

Voir toutes les règles par Osman Demir sur TDM : spécifiez l’auteur dans le panneau de filtres, ou utilisez l’option de recherche Lucene pour la recherche (tags.author:Osman Demir). 

https://tdm.socprime.com/?authors[]=Osman+Demir