StealC e Amadey: Analisi degli Infostealer e dei Servizi Dietro di Essi
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il rapporto esamina le attività di StealC, una piattaforma di infostealer-as-a-service, e Amadey, un loader di malware-as-a-service. I criminali informatici utilizzano questi strumenti per raccogliere credenziali sensibili, cookie di sessione e dati relativi alle criptovalute, consentendo operazioni successive come attacchi ransomware. L’ecosistema delle minacce si basa su traffico web ingannevole, poisoning SEO e campagne di phishing per compromettere dispositivi non gestiti.
Indagine
L’Unità per i Crimini Digitali di Microsoft, lavorando con Europol, ha condotto un’interruzione coordinata contro più di 200 domini e indirizzi IP di comando e controllo dannosi collegati a StealC e Amadey. Gli investigatori hanno utilizzato Microsoft Copilot per analizzare campioni di malware, decrittografare stringhe incorporate e scoprire l’infrastruttura di comando e controllo codificata. L’operazione ha portato allo smantellamento e alla sospensione di una parte significativa dell’infrastruttura di supporto degli attori delle minacce.
Mitigazione
I difensori dovrebbero abilitare la protezione cloud-based e la protezione antimanomissione in Microsoft Defender per aiutare a bloccare varianti nuove ed evolutive. L’applicazione delle regole di Riduzione della Superficie di Attacco può anche ridurre l’esposizione a percorsi di infezione comuni come il traffico web ingannevole. Inoltre, le organizzazioni dovrebbero rafforzare la protezione dell’identità e l’igiene delle credenziali per limitare l’impatto dei token di sessione rubati e degli account compromessi.
Risposta
Quando viene rilevata questa attività, le organizzazioni dovrebbero dare priorità alla protezione dell’identità e alla rapida contenimento per impedire che le credenziali rubate vengano utilizzate per movimenti laterali. Gli investigatori dovrebbero esaminare attentamente i possibili scenari di bypass MFA causati dal furto di cookie di sessione. Gli endpoint compromessi dovrebbero essere rapidamente isolati, e la telemetria di autenticazione dovrebbe essere monitorata per attività insolite che coinvolgono credenziali valide.
"flowchart TD step_initial_access{"Accesso Iniziale: T1189 – Compromissione Drive-by & T1674 – Iniezione di Input (ClickFix)"} step_persistence_amadey["Persistenza: T1037.004 – Attività Pianificata & T1059.003 – Shell di Comando di Windows (Caricatore Amadey)"] rules_for_step_persistence_amadey("<b>Nome della Regola</b>: MsiExec generato da Processo Shell (tramite cmdline)<br/><b>ID Regola</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Accesso a Credenziali: T1555.003 – Credenziali dai Browser, T1114.002 – Raccolta Email Remota & T1552.008 – Messaggi di Chat (Infostealer StealC)"] step_stealth["Evasione Difensiva: T1070.010 – Ricollocare Malware (esecuzione cradle di PowerShell)"] step_exfiltration["Esfiltrazione: T1041 – Esfiltrazione su Canale C2 (trasmissione RC4/Base64 dei dati)"] step_initial_access –>|leads_to| step_persistence_amadey step_persistence_amadey –>|enables| step_credential_harvesting step_credential_harvesting –>|then| step_stealth step_stealth –>|leads_to| step_exfiltration step_persistence_amadey -.->|detected_by| rules_for_step_persistence_amadey "
Flusso di Attacco
Rilevamenti
Possibile Utilizzo di Timeout per Ritardare l’Esecuzione (via cmdline)
Visualizza
Scarica o Carica via Powershell (via cmdline)
Visualizza
MsiExec generato da Processo Shell (via cmdline)
Visualizza
Creazione di Attività Pianificata per Persistenza Malware Amadey [Log Evento Sicurezza Microsoft Windows]
Visualizza
Rilevamento di Esecuzione Malware StealC e Iniezione di Processo [Creazione Processo Windows]
Visualizza
## Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria e Baseline deve essere stato superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa di Attacco & Comandi: Un avversario ha distribuito con successo un eseguibile dannoso chiamato
StealC.exe. Per eludere la semplice rilevazione basata su firme e tentare di nascondere la sua routine di iniezione, il malware è progettato per chiamare le sue funzioni interne passando il nome delle API Windows richieste come argomenti della linea di comando a un sottoprocesso. Questo simula un approccio “Living-off-the-Land” dove la stessa linea di comando contiene gli indicatori dell’intenzione di eseguireCreateProcessAconCREATE_SUSPENDEDe successivamente usareVirtualAllocExandWriteProcessMemoryper l’iniezione. -
Script di Test di Regressione:
# Script di simulazione per attivare la regola Sigma simulando le stringhe di comando previste # Nota: Questo simula la presenza di stringhe, non la reale esecuzione delle API. $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] Avvio simulazione: Esecuzione di $malwareName con stringhe di iniezione..." -ForegroundColor Cyan # Creiamo un file fittizio chiamato StealC.exe per soddisfare la parte 'Immagine' del rilevamento New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # Eseguiamo il file fittizio con le stringhe specifiche richieste dalla logica di rilevamento # In uno scenario reale, questo sarebbe il malware in esecuzione. Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] Comando di simulazione inviato." -ForegroundColor Green -
Comandi di Pulizia:
# Pulizia: Rimuovere il file di malware fittizio creato durante la simulazione Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata: StealC.exe rimosso." -ForegroundColor Yellow