Regras de Caça a Ameaças: PurpleWave Infostealer

Outro Infostealer com funções de backdoor foi descoberto no final de julho. Os autores do malware o anunciam em fóruns de cibercrime russos e vendem várias modificações da utilidade a um preço acessível. O novo Infostealer é escrito em C++ e foi apelidado de PurpleWave por seus autores. 

O malware pode realizar várias ações maliciosas à escolha de um hacker no sistema atacado. A função principal do Infostealer é roubar senhas, cookies, cartões, dados de preenchimento automático e histórico do navegador. O PurpleWave também pode coletar arquivos do caminho especificado, fazer capturas de tela, reunir e extrair informações do sistema, roubar arquivos de sessão do Telegram, dados de aplicativos da Steam e dados de carteiras de criptomoedas. Suas funções de backdoor incluem baixar e executar módulos adicionais e malware. Atualmente, não se sabe quais módulos este malware possui, mas está nos estágios iniciais de desenvolvimento, e seus autores provavelmente adicionarão tanto novas funções quanto capacidades adicionais para operações discretas.

Regra de caça a ameaças comunitária desenvolvida por Osman Demir ajuda a detectar o PurpleWave Infostealer nas primeiras fases antes que ocorra dano: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Comando e Controle, Acesso às Credenciais

Técnicas: Credenciais de Navegadores Web (T1503), Protocolo de Camada de Aplicação Padrão (T1071), Roubo de Cookies de Sessão Web (T1539)

Preparado para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.