Conheça Sreeman, um dos participantes mais ativos do SOC Prime Threat Bounty Program. Sreeman participa do Threat Bounty Program desde dezembro de 2019. Antes de começar a publicar seu próprio conteúdo desenvolvido no Threat Detection Marketplace, Sreeman contribuiu com uma carga significativa de mudanças e melhorias nas traduções de conteúdo TDM existentes para Azure Sentinel […]
Conteúdo de Detecção: Malspam Baixa Malware Zloader
O Trojan Zloader (também conhecido como Zeus Sphinx e Terdot) foi inicialmente detectado em agosto de 2015. Ele é baseado no código-fonte vazado do Trojan Zeus v2 e os cibercriminosos o utilizaram em ataques a organizações financeiras em todo o mundo, coletando dados sensíveis por meio de injeções web. No início de 2018, o uso […]
Digest de Regras: Trojans, Ciberespiões e Grupo RATicate
Esta semana, em nosso resumo, há regras desenvolvidas exclusivamente por participantes do Programa de Recompensa por Ameaças. Ator de ameaças por trás da recente variante Ursnif possivelmente conduz operações de cibercrime direcionadas que ainda estão em andamento. No centro dessas campanhas está uma variante do Trojan Ursnif que foi reutilizada como um downloader e ferramenta […]
Regra da Semana: Detecção de Malware QakBot
O trojan bancário QakBot (também conhecido como QBot) tem sido usado em ataques a organizações há mais de 10 anos, e seus autores monitoram continuamente as tendências do cenário de ameaças, adicionando novos recursos ou removendo-os se não funcionarem corretamente. Em 2017, este malware possuía capacidades semelhantes a um verme e era capaz de bloquear […]
Conteúdo de Detecção: Campanha de Roubo de Informações Kpot
COVID-19 é de longe o tópico mais popular explorado por cibercriminosos em campanhas de phishing e malspam. Recentemente, os atacantes encontraram uma maneira nova e eficaz de convencer o usuário a abrir um anexo malicioso. Pesquisadores da IBM X-Force descobriram uma campanha maliciosa que usava e-mails fingindo ser mensagens do Departamento de Trabalho dos EUA. […]
Conteúdo de Caça a Ameaças: Cavalo de Troia TAINTEDSCRIBE
Na semana passada, a CISA, o FBI e o DoD divulgaram relatórios de análise de malware sobre ferramentas recentemente descobertas do notório grupo Lazarus que realizam operações no interesse do governo norte-coreano. As variantes de malware, chamadas COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, podem ser usadas para reconhecimento e exclusão de informações confidenciais em sistemas-alvo. O malware […]
Conteúdo de Detecção: Caçando o Netwire RAT
O NetWire é um Trojan de Acesso Remoto disponível publicamente que faz parte da família de malware NetWiredRC usada por cibercriminosos desde 2012. Sua funcionalidade principal é focada no roubo de credenciais e keylogging, mas também possui capacidades de controle remoto. Os adversários frequentemente distribuem o NetWire através de malspam e emails de phishing. Em […]
Entrevista com o Desenvolvedor: Emir Erdogan
Continuamos entrevistando os membros do Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e hoje queremos apresentar-lhe Emir Erdogan. Emir participa do programa desde setembro de 2019, ele tem mais de 110 regras Sigma publicadas em seu nome, mas Emir também publica regras YARA para detectar ameaças reais. Suas regras são frequentemente encontradas em nossos posts do blog: Resumos […]
Conteúdo de Caça a Ameaças: Múltipla Detecção de HawkEye
Começamos a semana com uma nova regra de Emir Erdogan – HawkEye Multiple Detection (Campanha de Phishing Temática sobre Covid19). Este malware também é conhecido como Predator Pain e rouba uma variedade de informações sensíveis do sistema infectado, incluindo informações de carteiras de bitcoin e credenciais de navegadores e clientes de e-mail. O ladrão de […]
Resumo de Regras: RCE, CVE, OilRig e mais
Este digest inclui regras de ambos os membros do Programa Bounty de Ameaças e da Equipe SOC Prime. Vamos começar com regras de Arunkumar Krishna que estrearão em nosso Digest de Regras com CVE-2020-0932: Uma Falha de Execução Remota de Código no Microsoft SharePoint. O CVE-2020-0932 foi corrigido em abril, ele permite que usuários autenticados […]