Conteúdo de Detecção: Campanha de Roubo de Informações Kpot

[post-views]
Maio 21, 2020 · 2 min de leitura
Conteúdo de Detecção: Campanha de Roubo de Informações Kpot

COVID-19 é de longe o tópico mais popular explorado por cibercriminosos em campanhas de phishing e malspam. Recentemente, os atacantes encontraram uma maneira nova e eficaz de convencer o usuário a abrir um anexo malicioso. Pesquisadores da IBM X-Force descobriram uma campanha maliciosa que usava e-mails fingindo ser mensagens do Departamento de Trabalho dos EUA. Os adversários abusaram do tema do Family and Medical Leave Act, que dá aos funcionários o direito a benefícios de licença médica, para convencer os usuários a instalar malware em seus sistemas. No final de abril, os cibercriminosos espalharam o infame malware TrickBot através desta campanha. Isso funcionou tão bem para eles que algum outro grupo decidiu repetir seu sucesso e começou a usar e-mails similares para distribuir o ladrão de informações Kpot.

O ladrão de informações Kpot é uma família de malware comum que é usada em ataques há mais de 2 anos. O malware recebeu seu nome de uma string presente publicamente no Painel de Administração. Ele pode exfiltrar informações de contas e outros dados sensíveis de navegadores web, mensageiros instantâneos, Email, VPN, RDP, FTP, criptomoedas e software de jogos. 

Uma regra exclusiva de Osman Demir detecta a instalação do malware Kpot e suas comunicações com servidores C&C: https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas: Anexo de Spearphishing (T1193)

Mais regras para detectar esta ameaça:

Comportamento do KPOT (detecção Sysmon) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Downloader Powershell (Malware KPOT) por Emir Erdogan – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

Veja todas as regras de Osman Demir no TDM: especifique o autor no painel de Filtros ou use a opção de consulta de pesquisa Lucene para pesquisa (tags.author:Osman Demir). 

https://tdm.socprime.com/?authors[]=Osman+Demir

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Blog, Plataforma SOC Prime — 3 min de leitura
A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Steven Edwards
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko