Detecção do Criptografador SYK: Malware .NET Espalhando um Lote de RATs via Discord

À medida que o Discord ganha extrema popularidade entre as comunidades online, com 150 milhões de pessoas usando-o desde 2021, hackers voltam sua atenção para essa plataforma de chat, VoIP e distribuição digital. A superfície de ataque possível é vasta e promissora, permitindo que atores de ameaça abusem do Discord para distribuição de malware e outras ações nefastas.

Recentemente, pesquisadores de segurança revelaram mais um malware explorando a tendência da cadeia de ataque no Discord. Particularmente, hackers abusam do CND (Content Distribution Network) do Discord para distribuir uma série de Trojans de acesso remoto com a ajuda de um novo criptografador SYK.

Detectar SYK Crypter

Detecte a atividade maliciosa associada ao altamente evasivo malware SYK crypter usando uma regra Sigma dedicada fornecida pelo nosso prolífico autor Threat Bounty Osman Demir. Acesse a regra Sigma traduzida em 23 formatos SIEM, EDR & XDR através do link abaixo:

Execução suspeita do Syk Crypter com Powershell (via cmdline)

Para acessar mais conteúdo de detecção curado abordando as ameaças emergentes e obter o contexto completo enriquecido com referências MITRE ATT&CK, links de CTI e outros valiosos metadados, convidamos você a explorar o repositório Threat Detection Marketplace impulsionado pela plataforma Detection as Code da SOC Prime.

Você é um profissional estabelecido em caça de ameaças e engenharia de detecção? Monetize suas habilidades avançadas em cibersegurança juntando-se ao nosso Programa Threat Bounty. Submeta suas regras Sigma, Yara ou Snort, tenha-as publicadas em nossa plataforma e receba pagamentos repetidos enquanto contribui para a defesa cibernética colaborativa.

Ver Detecções Participar do Threat Bounty

Cadeia de Ataque SYK Crypter

De acordo com a pesquisa da Morphisec, os operadores do SYK Crypter não perderam a chance de aproveitar uma cadeia de ataque popular do Discord para distribuição de malware. Em maio de 2022, especialistas em segurança relataram múltiplas infecções pelo SYK Crypter conduzidas com a ajuda do CND do Discord.

Particularmente, o ataque começa com um e-mail de phishing contendo um arquivo malicioso anexo. O arquivo se disfarça como um pedido de compra legítimo, mas se aberto, aciona a cadeia de infecção. Na primeira etapa, o DNetLoader chega à máquina da vítima para se conectar a um endpoint de CND do Discord codificado e baixar os arquivos criptografados. Em seguida, o SYK crypter entra em ação, descriptografando a carga final armazenada como um recurso PE. Investigações adicionais revelam que o SYK espalha múltiplos Trojans de acesso remoto e ladrões, incluindo WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealer, e mais.

Análise do SYK Crypter

De acordo com os especialistas da Morphisec, o SYK crypter é uma ameaça inovadora que utiliza uma ampla gama de técnicas evasivas para enganar os defensores cibernéticos e contornar controles de segurança baseados em assinatura e comportamento. Especificamente, o SYK é capaz de detectar e superar soluções de AV, verificar ambientes de depuração, ganhar persistência através da pasta de inicialização e executar a carga útil usando a técnica de hollowing de processo.

Esforços intermináveis para ajustar as defesas contra as últimas ameaças parecem desafiadores. Com a plataforma Detection as Code da SOC Prime impulsionada pela defesa cibernética colaborativa, você pode aumentar significativamente suas capacidades de detecção de ameaças e velocidade de caça a ameaças, ultrapassando e superando os adversários.