Détection du Crypteur SYK : Malwares .NET Propagent un Lot de RAT via Discord
Table des matières :
Alors que Discord gagne en popularité extrême parmi les communautés d’utilisateurs en ligne, avec 150 millions de personnes l’utilisant en 2021, les hackers tournent leur attention vers cette plateforme de chat, VoIP et de distribution numérique. La surface d’attaque possible est vaste et prometteuse, permettant aux acteurs menaçants d’abuser de Discord pour la distribution de logiciels malveillants et d’autres actions malveillantes.
Récemment, des chercheurs en sécurité ont révélé un autre malware exploitant la chaîne d’attaque Discord à la mode. En particulier, les hackers abusent du CDN Discord (Content Distribution Network) pour déposer une pléthore de chevaux de Troie d’accès à distance à l’aide d’un nouveau crypteur SYK.
Détecter le Crypteur SYK
Détecter l’activité malveillante associée au malware crypteur SYK très évitant en utilisant une règle Sigma dédiée fournie par notre auteur prolifique de Threat Bounty Osman Demir. Accédez à la règle Sigma traduite en 23 formats SIEM, EDR & XDR via le lien ci-dessous :
Exécution suspecte de Syk Crypter avec Powershell (via cmdline)
Pour accéder à plus de contenu de détection organisé abordant les menaces émergentes et obtenir le contexte complet enrichi de références MITRE ATT&CK, de liens CTI et d’autres métadonnées précieuses, vous êtes les bienvenus pour explorer le dépôt du Threat Detection Marketplace alimenté par la plateforme Detection as Code de SOC Prime.
Êtes-vous un professionnel expérimenté en chasse aux menaces et en ingénierie de détection ? Monétisez vos compétences avancées en cybersécurité en rejoignant notre programme Threat Bounty. Soumettez vos règles Sigma, Yara ou Snort, faites-les publier sur notre plateforme et recevez des paiements récurrents tout en contribuant à une cyberdéfense collaborative.
Voir les Détections Rejoindre Threat Bounty
Chaîne d’attaque du Crypteur SYK
Selon la recherche de Morphisec, les opérateurs du Crypteur SYK n’ont pas manqué l’occasion de tirer parti d’une chaîne d’attaque Discord populaire pour la distribution de logiciels malveillants. En mai 2022, des experts en sécurité ont signalé de multiples infections par le Crypteur SYK réalisées avec l’aide du CDN Discord.
En particulier, l’attaque commence par un courriel de phishing contenant un fichier malveillant en pièce jointe. Le fichier se fait passer pour une commande d’achat légitime, mais s’il est ouvert, il déclenche la chaîne d’infection. À la première étape, DNetLoader atterrit sur la machine de la victime pour se connecter à un point de terminaison CDN Discord codé en dur et télécharger les fichiers chiffrés. Ensuite, le crypteur SYK entre en action, déchiffrant la charge utile finale stockée en tant que ressource PE. D’autres enquêtes révèlent que SYK propage plusieurs chevaux de Troie d’accès à distance et voleurs, y compris WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealer, et plus encore.
Analyse du Crypteur SYK
Selon les experts de Morphisec, le crypteur SYK est une menace innovante utilisant un large éventail de techniques évasives pour déjouer les cyberdéfenseurs et contourner les contrôles de sécurité basés sur les signatures et les comportements. Plus précisément, SYK est capable de détecter et contourner les solutions AV, vérifier les environnements de débogage, obtenir une persistance via le dossier de démarrage, et exécuter la charge utile en utilisant la technique du creusement de processus.
Les efforts incessants pour renforcer les défenses contre les dernières menaces semblent difficiles. Avec la plateforme Detection as Code de SOC Prime alimentée par la cyberdéfense collaborative, vous pouvez augmenter considérablement vos capacités de détection des menaces et la vitesse de chasse aux menaces, surpassant et déjouant les adversaires.
