Meh malware
Meh Malware er hovedsagelig en adgangskodestjæler og en keylogger, men dens truende kapaciteter spredes langt ud over det og omfatter en lang række funktioner. Malwaren består af to dele - en kryptor ved navn MehCrypter og den egentlige kerne af truslen ved navn Meh.
Cryptorkomponenten gennemgår flere faser designet til at levere og tilsløre Meh Malwares angrebskædes første trin. Det initierer først en dropper, der downloader yderligere tre filer fra Command-and-Control-serverne via HTTP POST-anmodninger. Filerne er pe.bin, base.au3 og autoit.exe, og alle tre er gemt i C: \ testintel2 \ biblioteket. Den vigtigste Meh-binære er indeholdt i pe.bin-binæren, dekrypteret af det tredje trin i MehCrypters operationer.
Når den er fuldt implementeret, giver Meh Malware trusselsaktørerne næsten fuldstændig kontrol over det kompromitterede system. Det kan hente udklipsholderindhold, udføre keylogging, indsamle kryptovaluta-tegnebøger, slippe yderligere filer gennem torrentklienter, distribuere og udføre en XMRig- kryptomining-malware og mere. Meh Malware leveres også med et alsidigt RAT-modul (Remote Access Trojan), der genkender og udfører omkring 45 forskellige kommandoer. Næsten alle de forskellige funktioner i Meh Malware udføres af undertråde, der udføres ved at foretage injektioner til legitime Windows-processer.
Det andet segment er en adgangskodestjæler, kaldet Meh. Stealeren er centrum for truslen og har mange funktioner. Stealeren er i stand til at downloade yderligere filer via torrents, samle udklipsholderens indhold, keylogging, indsamle kryptovaluta-tegnebøger og meget mere. Næsten alle dets funktionaliteter udføres i undertråde, udført fra injicerede processer. De vigtigste tråde observeret i Meh Malware er:
- Injektionstråd
- Installation og vedholdenhedstråd
- Anti-AV-kontroltråd
- Kryptominingstråd
- Torrent download tråd
- Udklipsholder stjæle og keylogging tråd
- Crypto tegnebøger stjæler tråd
- Annonce svindel tråd
Som de første tråders navne indikerer, udfører Meh Malware flere handlinger, der letter dets etablering på det kompromitterede system. Truslen skaber en persistensmekanisme og udfører kontroller for tilstedeværelsen af flere anti-malware-løsninger.
Hovedkernen i Meh Malwares aktivitet er at høste og exfiltrere forskellige data. Bortset fra de sædvanlige infostealerfunktioner som keylogging og aflytning af udklipsholderindhold, er truslen også rettet mod cryptocurrency-tegnebøger til Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax og Exodus. Og hvis det ikke var nok, ved at modtage de relevante parametre, kan truslen også udføre en annoncesvindel ved at indlede tvinger klik på vilkårlige annoncesider.
Meh Malwares allerede omfattende kapaciteter styrkes yderligere gennem tilstedeværelsen af et RAT-modul. Gennem det kan hackerne manipulere filsystemet, høste browseradgangskoder og cookies, administrere kryptomineringsaktiviteten og levere yderligere kryptominere, bruge kommandolinjen osv. En bestemt kommando ser RAT-modulet slette skyggekopier oprettet af Windows system, hvilket indikerer, at en potentiel ransomware-trussel bliver inkorporeret i Meh Malware på et fremtidigt tidspunkt.
