Règles de Chasse aux Menaces : PurpleWave Infostealer

[post-views]
août 21, 2020 · 2 min de lecture
Règles de Chasse aux Menaces : PurpleWave Infostealer

Un autre Infostealer avec des fonctions de porte dérobée a été découvert fin juillet. Les auteurs de malware le présentent sur les forums de cybercriminalité russes et vendent diverses modifications de l’utilitaire à un prix abordable. Le nouvel Infostealer est écrit en C++ et a été surnommé PurpleWave par ses auteurs. 

Le malware peut effectuer un certain nombre d’actions malveillantes de la part des hackers sur le système attaqué. La fonction principale de l’Infostealer est de voler des mots de passe, des cookies, des cartes, des données de formulaire(s) automatique(s), et l’historique des navigateurs. PurpleWave peut également collecter des fichiers à partir du chemin spécifié, faire des captures d’écran, rassembler et exfiltrer des informations système, voler des fichiers de session Telegram, des données de l’application Steam, ainsi que des données de portefeuille de cryptomonnaie. Ses fonctions de porte dérobée incluent le téléchargement et l’exécution de modules supplémentaires et de logiciels malveillants. Il est actuellement inconnu quels modules ce malware possède, mais il est dans les premières étapes de développement, et ses auteurs ajouteront très probablement de nouvelles fonctions et des capacités supplémentaires pour des opérations furtives.

Règle de chasse aux menaces communautaires développée par Osman Demir aide à détecter PurpleWave Infostealer à ses premiers stades avant que des dommages ne soient causés : https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Commandement et Contrôle, Accès aux Identifiants

Techniques : Informations d’identification via les navigateurs Web (T1503), Protocole standard de couche application (T1071), Vol de cookies de session Web (T1539)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Telychko
Toutes les actualités