Conteúdo de Caça a Ameaças: Detecção do Taurus Stealer

O malware Taurus que rouba informações é uma ferramenta relativamente nova criada pela equipe Predator The Thief e promovida em fóruns de hackers. O infostealer pode roubar dados sensíveis de navegadores, carteiras de criptomoedas, clientes de FTP, clientes de e-mail e vários aplicativos. O malware é altamente evasivo e inclui técnicas para evadir a detecção em sandbox. Os adversários desenvolveram um painel onde seus clientes podem monitorar a contagem de infecções de acordo com geolocalizações. Esse painel também fornece ao atacante a capacidade de personalizar a configuração do Taurus.

Uma ferramenta barata e eficaz não passou despercebida pelos cibercriminosos, e desde o início de junho, os pesquisadores têm rastreado campanhas maliciosas distribuindo o Taurus Infostealer. Os adversários enviam e-mails de spam com um documento anexado contendo código macro malicioso para baixar mais cargas úteis. Se o usuário habilitar a macro, uma subrotina AutoOpen() é chamada, que executará o macro VBA malicioso executando um script PowerShell via BitsTransfer para baixar três arquivos diferentes do site Github e salvá-los em uma pasta Temp com nomes predefinidos. 

Regra Sigma de caça à ameaça exclusiva por Osman Demir permite que soluções de segurança detectem o malware Taurus durante o seu processo de instalação: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Evasão de Defesa, Execução

Técnicas: PowerShell (T1086), Scripting (T1064)