検知コンテンツ: PsiXBot マルウェアの挙動

GoogleとMozillaがDNS over HTTPSプロトコルの広範な使用を促進する中、多くのマルウェア作成者もこの絶好の機会を利用して悪意のあるトラフィックを隠しています。最近発見されたPsiXBotのバージョンは、GoogleのDoHサービスを悪用して、コマンドアンドコントロールインフラストラクチャのIPを取得しています。このマルウェアは2017年に、クッキーや認証情報を収集し、追加のツールをダウンロードして実行することができる単純な情報盗用ツールとして登場しましたが、 追加モジュールを取得しました。 PsiXBotの主な特徴の1つは、C&Cサーバーとして.bitドメインを使用することです。これらにアクセスするために、以前は特定のDNSサーバーにアクセスしていましたが、現在C&Cドメインはコード内にハードコードされ、マルウェアはGETリクエストの変数としてGoogleのサービスにアドレスを配置し、HTTPSの背後でC&CインフラへのDNSクエリを隠しています。応答として、さらなる指示とモジュールへの変更が含まれたJSONの塊を受け取り、トラフィック分析ソリューションによる検出をほぼ確実に回避します。

PsiXBotはスパムメールやエクスプロイトキット（あるバージョンはSpelevoエクスプロイトキットを通じて配布されています）により配布されます。攻撃者は‘子孫’を積極的に改変し、新しいモジュールを追加しています：PsiXBotはクリップボード上の暗号通貨アドレスを置き換え、Outlookを通じてスパムメールを送信し、被害者が‘アダルト’ウェブサイトを訪問した際にビデオとオーディオの記録を開始する機能も持っており、これらはさらなる脅迫に使用される可能性があります。Ariel Millahuelによるコミュニティの脅威ハンティングルールによって Ariel Millahuel 最近発見されたPsiXBotマルウェアのサンプルの動作を発見するのに役立ちます： https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1

このルールには次のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 初期アクセス

技術: ルート証明書のインストール（T1130）