Detecção de Malware Eternity: Novo Modular MaaS

Enquanto profissionais de cibersegurança estão trabalhando arduamente para aumentar as operações do SOC com soluções mais escaláveis e inovadoras, os atores de ameaça também estão se esforçando para não ficarem para trás nesta corrida constante por segurança. Pesquisadores de segurança detectam um aumento no número de ofertas de malware-como-serviço (MaaS), com seus operadores utilizando novas abordagens sofisticadas de distribuição e propagação. Um dos exemplos mais recentes é um kit de ferramentas de malware chamado “Eternity Project” que pode ser obtido não apenas em mercados obscuros, mas também entrando em contato com seus distribuidores através do canal Telegram.

Os atores de ameaça estão empregando novos serviços orientados ao cliente, como um Bot no Telegram que permite aos compradores do malware Eternity ajustarem suas compras para melhor corresponder com suas intenções malignas. O kit de ferramentas de malware inclui um stealer Eternity, worm, minerador, clipper, ransomware e um bot de negação de serviço distribuída (DDoS). Todas as ofertas de compra podem ser adquiridas individualmente.

Detectar Malware Eternity

Para uma detecção eficiente do malware Eternity, use a regra Sigma abaixo desenvolvida pelo talentoso membro do Programa de Recompensa de Ameaças da SOC Prime, Osman Demir, para rastrear tempestivamente uma atividade suspeita relevante em seu sistema:

Execução Suspeita do Stealer Eternity a partir da Pasta Temp (via cmdline)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix e Open Distro.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática Execution com Command and Scripting Interpreter (T1059) como técnica principal.

Veja a lista completa de regras disponíveis no repositório Threat Detection Marketplace da plataforma da SOC Prime para detectar outras possíveis compromissos de sistema. Adeptos da cibersegurança são mais que bem-vindos para se juntar ao programa Threat Bounty e compartilhar suas regras Sigma com a comunidade, obtendo recompensas recorrentes.

Ver Detecções Juntar-se ao Threat Bounty

Descrição do Malware Eternity

O novo serviço de malware chamado Eternity está ganhando popularidade no mercado de ameaças. Cyble Research Labs’s experts relataram sobre o malware do Eternity Project que recentemente apareceu e eles descobriram em um site TOR, agora vendido via serviço de mensagens Telegram. O canal do Telegram também oferece atualizações de produtos, uma opção para compilar o binário e suporte ao usuário para operadores em potencial de malware Eternity. Um kit de ferramentas de malware multimodular inclui seis módulos de malware, com preços a partir de $90 para um Eternity Miner; o item mais caro na oferta é um Eternity Ransomware que promete criptografar todos os dados da vítima, disponível por $490.

A análise do Malware Eternity mostra que os operadores deste projeto estão aproveitando o código de um repositório do GitHub, rebatizando-o para gerar receita. Os analistas relatam que um infame Jester Stealer malware usado em ataques de phishing contra a Ucrânia no início de maio deste ano também pode ter sido construído a partir do código mencionado.

Junte-se à plataforma Detection as Code da SOC Prime para desbloquear acesso ao maior pool mundial de conteúdo de detecção criado por especialistas renomados na área. Esteja certo de que você não perderá nenhuma atualização importante, já que nossos especialistas do SOC se esforçam para publicar todas as detecções mais recentes, mantendo uma resposta rápida às últimas ameaças.