Detecção de Malware Sem Arquivo: Ataques AveMariaRAT / BitRAT / PandoraHVNC
Índice:
Os cibercriminosos estão mirando usuários do Microsoft Windows com três tipos de malware sem arquivo usados de uma vez em uma nova campanha de phishing. O e-mail de phishing imita um relatório de pagamento de uma fonte confiável, com um breve pedido para visualizar um documento Microsoft Excel anexado. O arquivo contém macros armadas e, uma vez lançado, instala o malware destinado a roubar os dados sensíveis da vítima. Os adversários distribuem as seguintes formas de malware: BitRAT, PandoraHVNC e AveMariaRAT.
Detectar Malware Sem Arquivo
Nosso renomado desenvolvedor Threat Bounty Emir Erdogan lançou uma regra Sigma para ajudá-lo a identificar se você foi atingido por uma das três amostras de malware sem arquivo despejadas por um e-mail de phishing via process_creation:
Detecção de AveMariaRAT / BitRAT e PandoraHVNC via process_creation
A detecção está disponível para as plataformas 23 SIEM, EDR & XDR, alinhadas com a versão mais recente do MITRE ATT&CK® framework v.10, abordando a tática de Execução com Interpretação de Comando e Script (T1059) e Tarefa/Job Agendada (T1053) como as principais técnicas.
Junte-se ao Threat Bounty Program para ter acesso completo ao único Marketplace de Detecção de Ameaças onde pesquisadores monetizam seu conteúdo. Melhore seu arsenal de segurança com itens de conteúdo de detecção cross-vendor e cross-tool, adaptados a mais de 25 tecnologias líderes de mercado em SIEM, EDR e XDR: clique no botão Ver Detecções para obter acesso instantâneo à rica biblioteca de algoritmos de detecção da SOC Prime.
Ver Detecções Junte-se ao Threat Bounty
Descrição de Malware Sem Arquivo
Pesquisadores da Fortinet compartilharam os resultados de sua investigação de uma série de ataques de phishing que afetam usuários do Microsoft Windows. Nesta campanha de phishing, os atores de ameaça enviaram um relatório de pagamento fraudulento, disfarçado como uma fonte confiável, phishing com um documento malicioso do Microsoft Excel. O objetivo é atrair os destinatários dos e-mails para baixar o arquivo com macros. Uma vez que a vítima em potencial o abre, o Office exibe um aviso de segurança, recomendando desabilitar macros. Se o usuário ignorar a recomendação e habilitar as macros, isso abre caminho para a penetração do malware.
O malware é recuperado e instalado no PC da vítima usando scripts VBA e PowerShell. Este código possui três segmentos – os três tipos de malware. Os alvos que caem em um ataque recebem três tipos de malware sem arquivo, que são AveMariaRAT, BitRAT e PandoraHVNC. O malware é usado para roubar informações confidenciais e realizar outras tarefas maliciosas.
Atualmente, o uso de macros maliciosas está em ascensão. Com as soluções pró-ativas de defesa cibernética fornecidas pela SOC Prime, as equipes de segurança aumentam as chances de detecção eficiente e mitigação oportuna de violações. Combatem ameaças cibernéticas que escapam de suas soluções de segurança com mais de 185.000 regras de detecção, parsers, consultas de pesquisa e outros itens de conteúdo enriquecidos com CTI, referências MITRE ATT&CK, descrições de CVE e mais informações contextuais relevantes, todas disponíveis no Threat Detection Marketplace repositório da plataforma da SOC Prime.
Especialistas aspirantes e profissionais de SOC também são bem-vindos a acessar a Cyber Library para dominar suas habilidades em SIEM, assistir a vídeos educacionais detalhados e atualizar-se com guias práticos sobre Caça de Ameaças.
