Immortel Stealer

Cette semaine, Lee Archinal, le contributeur du programme Threat Bounty a publié une règle Sigma communautaire pour détecter un autre logiciel voleur d’informations. La règle « Immortal Stealer (Comportement Sysmon) » est disponible en téléchargement sur le Threat Detection Marketplace après inscription : https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1

Immortal Infostealer est apparu il y a un peu plus d’un an sur les forums du dark web avec différents abonnements basés sur des versions. Il s’agit d’un malware courant écrit en .NET conçu pour voler les identifiants de connexion enregistrés et les données de carte de crédit, les fichiers de cookies, et les données de saisie automatique. Juste après l’infection, le malware crée un répertoire avec un nom aléatoire dans un dossier temporaire. 

Immortal Stealer est capable d’extraire des données de 24 navigateurs, de voler des fichiers liés aux sessions de Telegram et Discord, de copier des fichiers liés aux logiciels de portefeuilles de cryptomonnaie, et de prendre des captures d’écran du bureau. Une fois le « travail » terminé, le malware compresse les données volées dans une archive ZIP, les exfiltre vers le serveur de commande et de contrôle, et tente de supprimer les traces de l’activité malveillante.

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Évasion Défensive

Techniques : Suppression de fichier (T1107), Modification du registre (T1112)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.