Immortal Stealer

Nesta semana, Lee Archinal, o colaborador do Threat Bounty Program, publicou uma regra Sigma da comunidade para detectar mais um infostealer. A regra “Immortal Stealer (Sysmon Behavior)” está disponível para download no Threat Detection Marketplace após o registro: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1

O Immortal Infostealer apareceu há pouco mais de um ano nos fóruns da dark web com diferentes assinaturas baseadas em builds. Este é um malware comum escrito em .NET que foi projetado para roubar credenciais de login salvas, dados de cartão de crédito, arquivos de cookies e dados de preenchimento automático. Logo após a infecção, o malware cria um diretório com um nome aleatório em uma pasta temporária. 

O Immortal Stealer é capaz de extrair dados de 24 navegadores, roubar arquivos de sessão do Telegram e Discord, copiar arquivos relacionados a softwares de carteira de criptomoedas e tirar capturas de tela da área de trabalho. Quando o “trabalho” é concluído, o malware comprime os dados roubados em um arquivo ZIP, exfiltra-o para o servidor de comando e controle e tenta apagar os rastros da atividade maliciosa.

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Evasão de Defesa

Técnicas: Exclusão de Arquivos (T1107), Modificação de Registro (T1112)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Threat Bounty Program para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.