Outro Infostealer com funções de backdoor foi descoberto no final de julho. Os autores do malware o anunciam em fóruns de cibercrime russos e vendem várias modificações da utilidade a um preço acessível. O novo Infostealer é escrito em C++ e foi apelidado de PurpleWave por seus autores.
O malware pode realizar várias ações maliciosas à escolha de um hacker no sistema atacado. A função principal do Infostealer é roubar senhas, cookies, cartões, dados de preenchimento automático e histórico do navegador. O PurpleWave também pode coletar arquivos do caminho especificado, fazer capturas de tela, reunir e extrair informações do sistema, roubar arquivos de sessão do Telegram, dados de aplicativos da Steam e dados de carteiras de criptomoedas. Suas funções de backdoor incluem baixar e executar módulos adicionais e malware. Atualmente, não se sabe quais módulos este malware possui, mas está nos estágios iniciais de desenvolvimento, e seus autores provavelmente adicionarão tanto novas funções quanto capacidades adicionais para operações discretas.
Regra de caça a ameaças comunitária desenvolvida por Osman Demir ajuda a detectar o PurpleWave Infostealer nas primeiras fases antes que ocorra dano: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Comando e Controle, Acesso às Credenciais
Técnicas: Credenciais de Navegadores Web (T1503), Protocolo de Camada de Aplicação Padrão (T1071), Roubo de Cookies de Sessão Web (T1539)
Preparado para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
