Contenuto di Rilevamento: Comportamento del Malware PsiXBot

Poiché Google e Mozilla diffondono l’uso del protocollo DNS over HTTPS, sempre più autori di malware colgono questa perfetta opportunità per nascondere il traffico malevolo. Le versioni recentemente scoperte di PsiXBot sfruttano il servizio DoH di Google per recuperare gli IP per l’infrastruttura di comando e controllo. Il malware è apparso nel 2017 come un semplice infostealer in grado di raccogliere cookie e credenziali, oltre a scaricare ed eseguire strumenti aggiuntivi, ma nel tempo ha acquisito moduli extra. Una delle caratteristiche chiave di PsiXBot è l’uso di domini .bit come server C&C. Per accedervi, il malware in precedenza raggiungeva un server DNS specifico, ma ora i domini C&C sono codificati in esso e il malware nasconde la query DNS verso l’infrastruttura C&C tramite HTTPS inserendo indirizzi nelle richieste GET al servizio di Google come variabile. In risposta, riceve un blob JSON con ulteriori istruzioni e modifiche ai suoi moduli, che quasi certamente eviteranno il rilevamento da parte delle soluzioni di analisi del traffico.

PsixBot è distribuito tramite email spam o tramite Exploit kit (una delle versioni del malware è stata distribuita tramite l’exploit kit Spelevo). Gli attaccanti modificano attivamente il loro ‘progenie’ e aggiungono nuovi moduli: PsiXBot può anche sostituire indirizzi di criptovalute negli appunti, inviare email spam tramite Outlook e tracciare quando una vittima visita siti web ‘per adulti’ per iniziare a registrare video e audio, che possono essere utilizzati per ulteriori ricatti. La regola di threat hunting della comunità di Ariel Millahuel aiuta a scoprire il comportamento dei nuovi campioni di malware PsiXBot appena scoperti: https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale

Tecniche:  Installazione Certificato Radice (T1130)