Contenuto di Threat Hunting: Rilevamento di Taurus Stealer

Il malware Taurus per il furto di informazioni è uno strumento relativamente nuovo creato dal team Predator The Thief che lo promuove nei forum di hacker. L’infostealer può rubare dati sensibili da browser, portafogli di criptovalute, FTP, client email e varie app. Il malware è altamente evasivo e include tecniche per eludere il rilevamento nei sandbox. Gli avversari hanno sviluppato una dashboard dove i loro clienti possono monitorare il numero di infezioni in base alla geolocalizzazione. Questa dashboard fornisce inoltre all’attaccante la possibilità di personalizzare la configurazione di Taurus.

Uno strumento economico ed efficace non è passato inosservato ai cybercriminali, e dall’inizio di giugno, i ricercatori hanno tracciato campagne maligne che distribuiscono Taurus Infostealer. Gli avversari inviano email di spam con un documento in allegato contenente codice macro malevolo per scaricare ulteriori payload. Se l’utente abilita le macro, viene chiamata una subroutine AutoOpen() che eseguirà la macro VBA malevola eseguendo uno script PowerShell tramite BitsTransfer per scaricare tre diversi file dal sito di Github e salvarli in una cartella Temp con nomi predefiniti. 

Regola Sigma esclusiva per la caccia alle minacce di Osman Demir permette alle soluzioni di sicurezza di individuare il malware Taurus durante il processo di installazione: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Elusione della difesa, Esecuzione

Tecniche: PowerShell (T1086), Scripting (T1064)