Regole per la Caccia alle Minacce: Infostealer PurpleWave

Un altro Infostealer con funzioni di backdoor è stato scoperto a fine luglio. Gli autori del malware lo pubblicizzano sui forum di cibercriminalità russi e vendono varie modifiche dell’utilità a un prezzo accessibile. Il nuovo Infostealer è scritto in C++ ed è stato soprannominato PurpleWave dai suoi autori. 

Il malware può eseguire una serie di azioni dannose a scelta dell’hacker sul sistema attaccato. La funzione principale di Infostealer è rubare password, cookie, carte, dati di riempimento automatico e cronologia del browser. PurpleWave può anche raccogliere file dal percorso specificato, fare screenshot, raccogliere ed esfiltrare informazioni di sistema, rubare file di sessione di Telegram, dati dell’applicazione Steam e dati di portafogli di criptovalute. Le sue funzioni di backdoor includono il download e l’esecuzione di moduli aggiuntivi e malware. Attualmente non è noto quali moduli abbia questo malware, ma è nelle prime fasi di sviluppo e i suoi autori probabilmente aggiungeranno sia nuove funzioni sia capacità aggiuntive per operazioni furtive.

Regola di caccia alle minacce sviluppata dalla comunità da Osman Demir aiuta a rilevare PurpleWave Infostealer nelle fasi iniziali prima che venga causato danno: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Comando e Controllo, Accesso alle Credenziali

Tecniche: Credenziali dai Browser Web (T1503), Protocollo di Livello Applicazione Standard (T1071), Rubare Cookie di Sessione Web (T1539)

Pronto per provare SOC Prime TDM? Registrati gratuitamente. Oppure uni al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.