Rilevamento del Crypter SYK: Diffusione di Malware NET. Distribuzione di un Lotto di RAT tramite Discord
Indice:
Poiché Discord sta guadagnando estrema popolarità tra le comunità di utenti online, con 150 milioni di persone che lo utilizzano a partire dal 2021, gli hacker rivolgono la loro attenzione a questa piattaforma di chat, VoIP e distribuzione digitale. La superficie di attacco possibile è vasta e promettente, consentendo agli attori delle minacce di abusare di Discord per la distribuzione di malware e altre azioni nefaste.
Recentemente, i ricercatori di sicurezza hanno rivelato un altro malware che sfrutta la catena di attacco di Discord in tendenza. In particolare, gli hacker abusano del CDN (Content Distribution Network) di Discord per rilasciare una richiesta di Trojan di accesso remoto con l’aiuto di un nuovo crypter SYK.
Rileva SYK Crypter
Rileva l’attività dannosa associata al malware crypter SYK altamente evasivo utilizzando una regola Sigma dedicata fornita dal nostro prolifico autore di Threat Bounty Osman Demir. Accedi alla regola Sigma tradotta in 23 formati SIEM, EDR & XDR tramite il link sottostante:
Esecuzione sospetta di Syk Crypter con Powershell (via cmdline)
Per accedere a contenuti di rilevamento più curati che affrontano le minacce emergenti e ottenere il contesto completo arricchito con riferimenti MITRE ATT&CK, link CTI, e altri metadati preziosi, sei il benvenuto ad esplorare il repository Threat Detection Marketplace alimentato dalla piattaforma Detection as Code di SOC Prime.
Sei un professionista affermato nella caccia alle minacce e nell’ingegneria della rilevazione? Monetizza le tue avanzate competenze in cybersecurity unendoti al nostro Programma di Threat Bounty. Invia le tue regole Sigma, Yara o Snort, pubblicale sulla nostra piattaforma, e ricevi pagamenti ripetuti contribuendo alla difesa informatica collaborativa.
Visualizza le rilevazioni Unisciti a Threat Bounty
Catena di attacco SYK Crypter
Secondo la ricerca di Morphisec, gli operatori di SYK Crypter non hanno perso l’occasione di sfruttare una popolare catena di attacco di Discord per la distribuzione di malware. A maggio 2022, esperti di sicurezza hanno segnalato molteplici infezioni di SYK Crypter condotte con l’aiuto di Discord CDN.
In particolare, l’attacco inizia con un’email di phishing contenente un file dannoso allegato. Il file si maschera come un ordine d’acquisto legittimo, ma se aperto, innesca la catena d’infezione. Nella prima fase, DNetLoader si installa sulla macchina della vittima per connettersi a un endpoint Discord CDN codificato e scaricare i file criptati. Successivamente, il crypter SYK entra in azione, decriptando il payload finale memorizzato come risorsa PE. Ulteriori indagini rivelano che SYK diffonde molteplici Trojan di accesso remoto e stealer, inclusi WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealer, e altri.
Analisi di SYK Crypter
Secondo gli esperti di Morphisec, SYK crypter è una minaccia innovativa che sfrutta una vasta gamma di tecniche evasive per superare i difensori informatici ed eludere i controlli di sicurezza basati su firme e comportamenti. In particolare, SYK è in grado di rilevare e superare le soluzioni AV, controllare gli ambienti di debug, ottenere persistenza attraverso la cartella di avvio, ed eseguire il payload utilizzando la tecnica del process hollowing.
Gli sforzi incessanti per migliorare le difese contro le minacce più recenti sembrano sfidanti. Con la piattaforma Detection as Code di SOC Prime alimentata dalla difesa informatica collaborativa, puoi aumentare significativamente le tue capacità di rilevamento delle minacce e la velocità di caccia alle minacce, superando e anticipando gli avversari.
