Conteúdo de Detecção: Himera Loader

A postagem de hoje é dedicada ao malware Himera loader que os adversários têm usado em campanhas de phishing relacionadas ao COVID-19 desde o mês passado. Os criminosos cibernéticos continuam explorando os pedidos de licença médica e familiar relacionados às pandemias em andamento do COVID-19 como isca, já que este tema já provou sua eficácia na distribuição dos roubadores de informações Trickbot e Kpot. 

Em campanhas recentes, os e-mails foram armados com duas ferramentas universais de criminosos cibernéticos: Himera e Absent-Loader. Esta semana, Osman Demir lançou uma regra de caça a ameaças comunitária para detectar amostras do Himera loader relacionadas a essas campanhas: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

Nesta campanha, os adversários não usam macros ou exploits no documento malicioso, em vez disso, o documento contém o executável inteiro embutido nele como um objeto incorporado. O Himera loader se especializa em carregar o código do malware de próximo estágio na máquina da vítima. Ele executa alguns truques clássicos de anti-análise usando a API do Windows para evitar revelar a carga útil principal para os pesquisadores e manter a campanha secreta por mais tempo.

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução

Técnicas: Execução de Usuário (T1204)