Immortal Stealer

Questa settimana, Lee Archinal, il contributore del Threat Bounty Program ha pubblicato una regola Sigma della comunità per rilevare un altro infostealer. La regola “Immortal Stealer (Sysmon Behavior)” è disponibile per il download nel Threat Detection Marketplace previa registrazione: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1

Immortal Infostealer è apparso poco più di un anno fa nei forum del dark web con diverse sottoscrizioni basate su build. Questo è un malware comune scritto in .NET progettato per rubare le credenziali di accesso salvate, i dati delle carte di credito, i file dei cookie e i dati di compilazione automatica. Subito dopo l’infezione, il malware crea una directory con un nome casuale in una cartella temporanea. 

Immortal Stealer è in grado di estrarre dati da 24 browser, rubare file di sessione da Telegram e Discord, copiare file relativi a software di portafogli di criptovalute e catturare schermate del desktop. Quando il “lavoro” è completato, il malware comprime i dati rubati in un archivio ZIP, li esfiltra verso il server di comando e controllo e tenta di eliminare le tracce dell’attività malevola.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Elusione della Difesa

Tecniche: Cancellazione File (T1107), Modifica del Registro (T1112)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.