Rilevamento del Malware Fileless: Attacchi AveMariaRAT / BitRAT / PandoraHVNC

I cybercriminali stanno prendendo di mira gli utenti di Microsoft Windows con tre varianti di malware fileless usate insieme in una nuova campagna di phishing. La mail di phishing imita un rapporto di pagamento da una fonte affidabile, con una breve richiesta di visualizzare un documento Microsoft Excel allegato. Il file contiene macro armate e, una volta avviato, distribuisce il malware mirato a rubare i dati sensibili della vittima. Gli avversari distribuiscono le seguenti forme di malware: BitRAT, PandoraHVNC, e AveMariaRAT.

Rileva Malware Fileless

Il nostro rinomato sviluppatore Threat Bounty Emir Erdogan ha rilasciato una regola Sigma per aiutarti a identificare se sei stato colpito da uno dei tre campioni di malware fileless distribuiti da un’email di phishing tramite process_creation:

Rilevamento di AveMariaRAT / BitRAT e PandoraHVNC tramite process_creation

La rilevazione è disponibile per 23 piattaforme SIEM, EDR & XDR, allineata con l’ultima versione del framework MITRE ATT&CK® v.10, trattando la tattica di Esecuzione con Command and Scripting Interpreter (T1059) e Scheduled Task/Job (T1053) come tecniche principali.

Unisciti al Programma Threat Bounty per ottenere l’accesso completo all’unico Threat Detection Marketplace dove i ricercatori monetizzano i loro contenuti. Potenzia il tuo arsenale di sicurezza con elementi di contenuto di rilevamento cross-vendor e cross-tool su misura per tecnologie SIEM, EDR e XDR di oltre 25 leader di mercato: clicca sul pulsante Visualizza rilevamenti per ottenere accesso immediato alla ricca libreria di algoritmi di rilevamento di SOC Prime.

Visualizza rilevamenti Partecipa a Threat Bounty

Descrizione del Malware Fileless

I ricercatori di Fortinet hanno condiviso i risultati della loro indagine su una serie di attacchi di phishing che colpiscono gli utenti di Microsoft Windows. In questa campagna di phishing, gli attori delle minacce hanno inviato un falso rapporto di pagamento, travestendosi da fonte affidabile, facendo phishing con un documento Microsoft Excel malevolo. L’obiettivo è indurre i destinatari dell’email a scaricare il file intriso di macro. Una volta che la potenziale vittima lo apre, Office visualizza un avviso di sicurezza, raccomandando di disabilitare le macro. Se l’utente ignora la raccomandazione e abilita invece le macro, si apre una via per la penetrazione del malware.

Il malware viene recuperato e installato sul PC della vittima utilizzando script VBA e PowerShell. Questo codice ha tre segmenti di codice – i tre tipi di malware. Gli obiettivi che cadono vittime di un attacco ricevono tre varianti di malware fileless, che sono AveMariaRAT, BitRAT, e PandoraHVNC. Il malware è destinato a rubare informazioni confidenziali e svolgere altre attività malevole.

Attualmente, l’uso di macro malevole è in aumento. Con soluzioni di difesa informatica proattiva fornite da SOC Prime, i team di sicurezza aumentano le probabilità di rilevare efficacemente e mitigare tempestivamente le violazioni. Combatti le minacce cyber che eludono le tue soluzioni di sicurezza con oltre 185.000 regole di rilevamento, parser, query di ricerca e altri elementi di contenuto arricchiti con CTI, riferimenti MITRE ATT&CK, descrizioni CVE e altre informazioni contestuali rilevanti, tutte disponibili nel Threat Detection Marketplace repository della piattaforma di SOC Prime.

Anche gli specialisti SOC aspiranti e professionisti sono invitati ad accedere alla Cyber Library per potenziare le proprie competenze SIEM, guardare video educativi approfonditi e aggiornarsi con guide pratiche sulla Caccia alle Minacce.