Contenuto di Rilevamento: Arkei Stealer

Arkei Stealer è una variante di malware infostealer e la sua funzionalità è simile al malware Azorult: ruba informazioni sensibili, credenziali e chiavi private per portafogli di criptovaluta. Il malware è venduto nei forum clandestini, e chiunque può acquisire e utilizzare sia la versione “legittima” che la versione crackata di Arkei Stealer, rendendo difficile attribuire gli attacchi. 

L’attacco informatico più rumoroso che utilizza questo infostealer può essere considerato l’hacking dell’account GitHub di uno degli sviluppatori della criptovaluta Syscoin e il compromesso del repository ufficiale del progetto nel 2018 quando gli attaccanti hanno sostituito il client ufficiale per Windows pubblicato su GitHub con una versione malevola con Arkei Stealer incorporato, che è rimasta inosservata per diversi giorni. Nel 2019, questo malware è stato diffuso attivamente utilizzando botnet, e più recentemente è stato segnalato che Spamhaus Botnet continua a distribuire le ultime versioni dell’infostealer.

Nuovi campioni appaiono regolarmente, e basandosi sul pezzo di malware scoperto recentemente il partecipante a Threat Bounty Program Lee Archinal ha sviluppato contenuti di rilevamento per scoprire la presenza della minaccia sui sistemi Windows: https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Execution, Credential Access, Discovery

Tecniche: Command-Line Interface (T1059), Credential Dumping (T1003), Query Registry (T1012)

Pronto a provare SOC Prime TDM? Iscriviti gratis. Oppure unisciti a Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.