Contenu de Chasse aux Menaces : Détection de Taurus Stealer

Le malware voleur d’informations Taurus est un outil relativement nouveau créé par l’équipe Predator The Thief qui le promeut sur les forums de hackers. Le voleur d’informations peut dérober des données sensibles depuis les navigateurs, les portefeuilles de cryptomonnaies, FTP, les clients email, et diverses applications. Le malware est très évasif et inclut des techniques pour échapper à la détection dans les bacs à sable. Les adversaires ont développé un tableau de bord où leurs clients peuvent suivre les comptes d’infection selon les géolocalisations. Ce tableau de bord fournit également à l’attaquant la possibilité de personnaliser la configuration de Taurus.

Un outil peu coûteux et efficace n’est pas passé inaperçu auprès des cybercriminels, et depuis le début de juin, des chercheurs ont suivi des campagnes malveillantes distribuant Taurus Infostealer. Les adversaires envoient des emails de spam avec un document en pièce jointe contenant un code macro malveillant pour télécharger d’autres charges utiles. Si l’utilisateur active la macro, une sous-routine AutoOpen() est appelée, qui exécutera la macro VBA malveillante exécutant un script PowerShell via BitsTransfer pour télécharger trois fichiers différents du site Github et les enregistrer dans un dossier Temp avec des noms prédéfinis. 

Règle exclusive de chasse aux menaces Sigma par Osman Demir permet aux solutions de sécurité de repérer le malware Taurus pendant son processus d’installation : https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Évasion de la défense, Exécution

Techniques : PowerShell (T1086), Scripting (T1064)