Arkei Stealer é uma variante do malware infostealer e sua funcionalidade é similar ao malware Azorult: ele rouba informações sensíveis, credenciais e chaves privadas de carteiras de criptomoedas. O malware é vendido em fóruns clandestinos, e qualquer pessoa pode adquirir e usar tanto a versão “legítima” quanto a versão crackeada do Arkei Stealer, tornando difícil a atribuição dos ataques.
O ciberataque mais ruidoso usando esse infostealer pode ser considerado o hackeamento da conta GitHub de um dos desenvolvedores da criptomoeda Syscoin e o comprometimento do repositório oficial do projeto em 2018, quando os atacantes substituíram o cliente oficial do Windows publicado no GitHub por uma versão maliciosa com o Arkei Stealer embutido, que permaneceu despercebida por vários dias. Em 2019, esse malware foi disseminado ativamente usando botnets, e mais recentemente foi relatado que o Spamhaus Botnet continua a distribuir as versões mais recentes do infostealer.
Novas amostras aparecem regularmente, e com base na amostra de malware recentemente descoberta, o participante do Programa de Recompensa por Ameaças Lee Archinal desenvolveu conteúdo de detecção para descobrir a presença da ameaça em sistemas Windows: https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução, Acesso a Credenciais, Descoberta
Técnicas: Interface de Linha de Comando (T1059), Dumping de Credenciais (T1003), Consulta ao Registro (T1012)
Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa de Recompensa por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
