Conteúdo de Detecção: Comportamento do Malware PsiXBot

À medida que a Google e a Mozilla promovem o uso generalizado do protocolo DNS sobre HTTPS, mais autores de malware também adotam essa oportunidade perfeita para esconder o tráfego malicioso. As versões recentemente descobertas do PsiXBot abusam do serviço DoH do Google para recuperar os IPs para a infraestrutura de comando e controle. O malware apareceu em 2017 como um simples infostealer capaz de coletar cookies e credenciais, além de baixar e executar ferramentas adicionais, mas ao longo do tempo adquiriu módulos extras. Uma das principais características do PsiXBot é o uso de domínios .bit como servidores C&C. Para acessá-los, o malware anteriormente usava um servidor DNS específico, mas agora os domínios C&C estão codificados nele e o malware esconde a consulta DNS para a infraestrutura C&C por trás do HTTPS colocando endereços em requisições GET para o serviço do Google como uma variável. Em resposta, ele recebe um objeto JSON com mais instruções e modificações para seus módulos, o que certamente evitará a detecção por soluções de análise de tráfego.

O PsixBot é distribuído por emails de spam ou por kits de exploração (uma das versões do malware foi distribuída pelo kit de exploração Spelevo). Os atacantes modificam ativamente sua ‘prole’ e adicionam novos módulos: PsiXBot também pode substituir endereços de criptomoedas na área de transferência, enviar emails de spam via Outlook e rastrear quando uma vítima visita sites ‘adultos’ para começar a gravar vídeo e áudio, o que pode ser usado para chantagem posterior. A regra de caça a ameaças da comunidade por Ariel Millahuel ajuda a descobrir o comportamento de amostras recém-descobertas do malware PsiXBot: https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso Inicial

Técnicas:  Instalar Certificado Raiz (T1130)