Contenuto di Rilevamento: Campagna di Kpot Info Stealer

[post-views]
Maggio 21, 2020 · 2 min di lettura
Contenuto di Rilevamento: Campagna di Kpot Info Stealer

COVID-19 è di gran lunga l’argomento più popolare sfruttato dai cybercriminali nelle campagne di phishing e malspam. Recentemente, gli attaccanti hanno trovato un modo nuovo ed efficace per convincere l’utente ad aprire un allegato dannoso. I ricercatori di IBM X-Force hanno scoperto una campagna dannosa che utilizzava email che sembravano essere messaggi dal Dipartimento del Lavoro degli Stati Uniti. Gli avversari hanno abusato del tema del Family and Medical Leave Act, che dà ai dipendenti il diritto ai benefici di congedo medico, per convincere gli utenti a installare malware sui loro sistemi. Alla fine di aprile, i cybercriminali hanno diffuso il famigerato malware TrickBot attraverso questa campagna. Ha funzionato così bene per loro che qualche altro gruppo ha deciso di ripetere il loro successo e ha iniziato a utilizzare email simili per distribuire il ladro di informazioni Kpot.

Il ladro di informazioni Kpot è una famiglia di malware comune che è utilizzata negli attacchi da più di 2 anni. Il malware ha preso il nome da una stringa pubblicamente presente nel pannello di amministrazione. Può esfiltrare informazioni sugli account e altri dati sensibili da browser web, messaggeri istantanei, email, VPN, RDP, FTP, criptovalute e software di giochi. 

La regola esclusiva di Osman Demir rileva l’installazione del malware Kpot e le sue comunicazioni con i server C&C: https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche: Allegato Spearphishing (T1193)

Altre regole per rilevare questa minaccia:

Comportamento KPOT (rilevamento Sysmon) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Downloader Powershell (Malware KPOT) di Emir Erdogan – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

Visualizza tutte le regole di Osman Demir su TDM: specifica l’autore nel pannello dei filtri o usa l’opzione di ricerca con query Lucene (tags.author:Osman Demir). 

https://tdm.socprime.com/?authors[]=Osman+Demir

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko