Regra da Semana: Possível Arquivo Malicioso com Dupla Extensão

Os adversários podem disfarçar executáveis maliciosos como imagens, documentos ou arquivos, substituindo ícones de arquivos e adicionando extensões falsas aos nomes dos arquivos. Tais arquivos “elaborados” são frequentemente usados como anexos em e-mails de phishing, e este é um método bastante eficaz para infectar sistemas Windows devido à opção “Ocultar extensões de tipos de arquivos conhecidos” estar habilitada por padrão para o Windows XP e sistemas mais novos. A verdadeira extensão do arquivo é ocultada pelo sistema no explorador de arquivos e na maioria dos aplicativos que seguem as políticas do explorador de arquivos do sistema. Se o e-mail de phishing convencer o usuário a abrir o “documento”, o malware é instalado no sistema, e então o documento de isca é frequentemente baixado e executado para que o usuário não suspeite de nada.

Nossa equipe SOC lançou uma regra Sigma exclusiva que detecta o uso suspeito de uma extensão .exe após uma extensão de arquivo não executável como .pdf.exe, um conjunto de espaços ou sublinhados para camuflar o arquivo executável em campanhas de spear phishing: https://tdm.socprime.com/tdm/info/2FWv97nWNL5L/iea3vHEBv8lhbg_iMXqH/?p=1

A Detecção de Ameaças é suportada nas seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnica: Anexo de Spearphishing (T1193)

Por favor, encontre aqui as 5 principais regras da comunidade lançadas na semana passada por participantes do Programa de Recompensas de Ameaças: https://socprime.com/en/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/