META Infostealer

META Infolstealer je nový, hrozivý kmen, který si získává na popularitě mezi kyberzločinci. Malwarová hrozba je součástí vlny škodlivých výtvorů zaměřených na zaplnění vakua, které zůstalo poté, co provozovatelé Raccoon Stealer ukončili svou činnost. V důsledku toho se mnoho hackerů a hackerských organizací začalo rozhlížet po své další útočné platformě a zdá se, že META Infostealer dokázal uspokojit většinu jejich potřeb. Dosud lze přístup k malwaru získat za měsíční předplatné ve výši 125 USD nebo jednorázovou doživotní platbu ve výši 1 000 USD.

Hrozba je inzerována jako silnější a vylepšená verze RedLine . Dokáže získat citlivé informace z infikovaných zařízení, jako jsou přihlašovací údaje a hesla uložená v některých z nejpopulárnějších webových prohlížečů, jako je Chrome, Firefox a Edge. Kromě toho mohou útočníci využít META Infostealer ke kompromitaci kryptoměnových peněženek oběti.

Útočný řetězec

Bezpečnostní expert a ISC Handler Brad Duncan odhalil aktivní kampaň navrženou k nasazení META Infostealer. Aktéři hrozeb využívají osvědčený a infekční vektor šíření spamových e-mailů s otrávenými přílohami. Tyto e-maily s návnadami mohou obsahovat zcela vymyšlená tvrzení o převodech prostředků nebo jiných zdánlivě naléhavých událostech, které vyžadují okamžitou pozornost uživatele. Chcete-li zobrazit informace o domnělém problému, oběti jsou nasměrovány, aby otevřely přiložený soubor, což je tabulka Excel s makrem. Aby soubor vypadal legitimněji, nese logo DocuSign a instruuje uživatele, aby „povolili obsah“, což je nezbytný krok pro spuštění poškozeného makra VBS.

Když je skript spuštěn, načte a doručí do zařízení uživatele několik datových částí sestávajících z více knihoven DLL a spustitelných souborů. Soubory se načítají z různých webů, jako je GitHub. Aby nebyly detekovány bezpečnostními aplikacemi, mohou být odstraněné soubory kódovány base64 nebo mohou mít obrácené bajty. Konečné užitečné zatížení bude vytvořeno na zařízení jako soubor s názvem 'qwveqwveqw.exe.' Vybraný název bude pravděpodobně vygenerován náhodně. Bude vložen nový klíč registru, který bude fungovat jako mechanismus perzistence. V rámci svých akcí bude hrozba také používat příkazy PowerShellu, aby přinutila Windows Defender zastavit skenování souborů .exe v systému. Jasnou známkou přítomnosti META Infostealer je nepřetržitý provoz mezi jeho užitečným souborem .exe a operačním serverem Command-and-Control.