Arkei Stealer é uma variante do malware infostealer e sua funcionalidade é similar ao malware Azorult: ele rouba informações sensíveis, credenciais e chaves privadas de carteiras de criptomoedas. O malware é vendido em fóruns clandestinos, e qualquer pessoa pode adquirir e usar tanto a versão “legítima” quanto a versão crackeada do Arkei Stealer, tornando difícil […]
IOC Sigma: Criação de Pastas Falsas
Hoje queremos prestar atenção à regra Sigma de IOC da comunidade enviada por Ariel Millahuel para detectar a criação de diretórios falsos que podem ser usados para contornar o Controle de Conta de Usuário (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Um diretório falso é uma imitação específica de uma pasta do Windows com um espaço no final do nome, […]
Conteúdo de Detecção: Bazar Loader
Este outono trouxe outro desafio para os guardiões das infraestruturas corporativas. No início deste ano, no final de abril, desenvolvedores do TrickBot usaram uma nova backdoor furtiva em uma campanha de phishing direcionada a serviços profissionais, saúde, manufatura, TI, logística e empresas de viagens nos Estados Unidos e Europa. Muitos atores de ameaças avançadas, incluindo […]
Regra da Semana: Detecção de Ransomware VHD
Acreditamos que hoje merecidamente damos o título de Regra da Semana à regra Sigma exclusiva desenvolvida por Osman Demir para habilitar a detecção do ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Os primeiros ataques usando essa cepa de ransomware começaram em março de 2020 e, somente recentemente, os pesquisadores os vincularam ao Lazarus APT. Isso foi facilitado pela detecção […]
Regras de Caça às Ameaças: Redaman RAT
Hoje, na categoria Regras de Detecção de Ameaças, temos o prazer de apresentar uma nova regra desenvolvida por Ariel Millahuel, que detecta o Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 O Redaman é uma forma de trojan bancário distribuído por campanhas de phishing. Foi visto pela primeira vez em 2015 e relatado como o trojan bancário RTM, novas versões […]
Conteúdo de Detecção: Framework de malware multiplataforma MATA pelo Lazarus APT
Na semana passada, pesquisadores relataram sobre a mais nova e notória ferramenta do APT Lazarus, que tem sido usada nos ataques do grupo desde a primavera de 2018. Seu novo ‘brinquedo’ foi nomeado MATA, é uma estrutura modular multiplataforma com vários componentes, incluindo um carregador, orquestrador e múltiplos plugins que podem ser usados para infectar […]
Regras de Caça a Ameaças: MaaS Golden Chickens
Como você sabe, Malware-as-a-Service (MaaS) é um negócio que já se tornou comum e opera em fóruns subterrâneos e mercados negros, oferecendo uma gama de serviços. Os primeiros ataques usando o Golden Chickens MaaS começaram em 2017, e o grupo Cobalt estava entre seus primeiros “clientes”. O sucesso deste projeto depende fortemente de ferramentas e […]
Conteúdo de Detecção: Backdoor RDAT
Na semana passada, pesquisadores publicaram detalhes dos ataques direcionados a telecomunicações do Oriente Médio realizados pelo APT34 (também conhecido como OilRig e Helix Kitten), e ferramentas atualizadas no arsenal deste grupo. Claro, os participantes do Programa Threat Bounty não passaram por isso e publicaram algumas regras para detectar o RDAT Backdoor, mas mais sobre isso […]
Conteúdo de Caça a Ameaças: Emotet Retorna Novamente
Pois nunca houve uma história de maior sofrimento do que esta de mais uma vez o retorno do Emotet. Desta vez, não houve campanhas em grande escala por cerca de sete meses, embora casos isolados de infecção tenham sido registrados e pesquisadores encontraram documentos distribuindo este malware. Os ataques foram retomados na sexta-feira passada, com […]
CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower
Novamente, saímos do cronograma usual de publicações devido ao surgimento de um exploit para a vulnerabilidade crítica CVE-2020-3452 no Cisco ASA & Cisco Firepower, bem como ao surgimento de regras para detectar a exploração dessa vulnerabilidade. CVE-2020-3452 – mais uma dor de cabeça em Julho CVE-2020-3452 foi descoberta no final do ano passado, mas não […]