إنفوستيلر ميتا

إنفوستيلر ميتا

إن META Infolstealer عبارة عن سلالة جديدة مهددة تكتسب قوة جذب بين مجرمي الإنترنت. يعد تهديد البرامج الضارة جزءًا من موجة الابتكارات الضارة التي تهدف إلى ملء الفراغ المتبقي بعد أن أوقف مشغلو Raccoon Stealer أنشطتهم. نتيجة لذلك ، بدأ العديد من المتسللين ومنظمات المتسللين في البحث عن منصة هجومهم التالية ، ويبدو أن META Infostealer تمكن من تلبية معظم احتياجاتهم. حتى الآن ، يمكن الحصول على الوصول إلى البرامج الضارة مقابل اشتراك شهري قدره 125 دولارًا أو دفعة واحدة مدى الحياة بقيمة 1000 دولار.

يتم الإعلان عن التهديد باعتباره نسخة محسّنة وأكثر فاعلية من RedLine . يمكنه الحصول على معلومات حساسة من الأجهزة المصابة ، مثل بيانات اعتماد تسجيل الدخول وكلمات المرور المخزنة في بعض متصفحات الويب الأكثر شيوعًا ، مثل Chrome و Firefox و Edge. بالإضافة إلى ذلك ، يمكن للمهاجمين الاستفادة من META Infostealer لتعريض محافظ العملة المشفرة للضحية للخطر.

سلسلة الهجوم

كشف الخبير الأمني و ISC Handler Brad Duncan عن حملة نشطة مصممة لنشر META Infostealer. يستخدم القائمون بالتهديد المتجه الذي تمت تجربته ومن خلال العدوى لنشر رسائل البريد الإلكتروني العشوائية مع مرفقات الملفات المسمومة. يمكن أن تحتوي رسائل البريد الإلكتروني المغرية هذه على ادعاءات ملفقة تمامًا حول تحويلات الأموال أو غيرها من الأحداث التي تبدو عاجلة والتي تتطلب اهتمامًا فوريًا من المستخدم. للاطلاع على معلومات حول المشكلة المفترضة ، يتم توجيه الضحايا لفتح الملف المرفق ، وهو عبارة عن جدول بيانات Excel مرتبط بالماكرو. لكي يظهر الملف أكثر شرعية ، يحمل شعار DocuSign ويوجه المستخدمين إلى "تمكين المحتوى" ، وهي خطوة ضرورية لتنفيذ ماكرو VBS تالف.

عند بدء البرنامج النصي ، سوف يجلب ويسلم إلى جهاز المستخدم العديد من الحمولات التي تتكون من مكتبات DLL المتعددة والملفات التنفيذية. يتم استرداد الملفات من مواقع ويب مختلفة ، مثل GitHub. لتجنب أن يتم الكشف عنها بواسطة تطبيقات الأمان ، قد تكون الملفات المسقطة بترميز base64 أو يتم عكس وحدات البايت الخاصة بها. سيتم إنشاء الحمولة النهائية على الجهاز كملف يسمى "qwveqwveqw.exe." من المحتمل أن يتم إنشاء الاسم المختار عشوائيًا. سيتم إدخال مفتاح تسجيل جديد ويعمل كآلية ثبات. كجزء من إجراءاته ، سيستخدم التهديد أيضًا أوامر PowerShell لإجبار Windows Defender على التوقف عن فحص ملفات exe. على النظام. علامة واضحة على وجود META Infostealer هي حركة المرور المستمرة بين ملف الحمولة النافعة. exe وخادم العمليات Command-and-Control.

جار التحميل...