META Infostealer

META Infostealer

META Infolstealer er en ny, truende stamme, der har vundet indpas blandt cyberkriminelle. Malwaretruslen er en del af bølgen af skadelige kreationer, der har til formål at udfylde det tomrum, der er tilbage, efter at operatørerne af Raccoon Stealer stoppede deres aktiviteter. Som et resultat begyndte mange hackere og hackerorganisationer at se sig om efter deres næste angrebsplatform, og det ser ud til, at META Infostealer har formået at opfylde de fleste af deres behov. Indtil videre kan man få adgang til malwaren for et månedligt abonnement på $125 eller en enkelt livstidsbetaling på $1000.

Truslen bliver annonceret som en mere potent og forbedret version af RedLine. Det kan hente følsomme oplysninger fra inficerede enheder, såsom login-legitimationsoplysninger og adgangskoder, der er gemt i nogle af de mest populære webbrowsere, såsom Chrome, Firefox og Edge. Derudover kan angriberne udnytte META Infostealer til at kompromittere ofrets cryptocurrency-punge.

Angrebskæden

Sikkerhedseksperten og ISC Handler Brad Duncan afslørede en aktiv kampagne designet til at implementere META Infostealer. Trusselsaktørerne anvender den gennemprøvede infektionsvektor til at sprede spam-e-mails med forgiftede vedhæftede filer. Disse lokkemails kan indeholde fuldstændig opdigtede påstande om pengeoverførsler eller andre tilsyneladende presserende begivenheder, som kræver øjeblikkelig opmærksomhed fra brugeren. For at se oplysninger om det formodede problem, bliver ofre bedt om at åbne den vedhæftede fil, som er et makro-snøret Excel-regneark. For at fremstå mere legitim, bærer filen et DocuSign-logo og instruerer brugerne om at "aktivere indhold", et nødvendigt trin for at udføre en beskadiget VBS-makro.

Når scriptet startes, vil det hente og levere til brugerens enhed adskillige nyttelaster bestående af flere DLL'er og eksekverbare filer. Filerne hentes fra forskellige websteder, såsom GitHub. For at undgå at blive opdaget af sikkerhedsapplikationer kan de tabte filer være base64-kodede eller have deres bytes omvendt. Den endelige nyttelast vil blive oprettet på enheden som en fil med navnet 'qwveqwveqw.exe.' Det valgte navn vil sandsynligvis blive genereret tilfældigt. En ny registreringsnøgle vil blive injiceret og fungere som en persistensmekanisme. Som en del af sine handlinger vil truslen også bruge PowerShell-kommandoer til at tvinge Windows Defender til at stoppe med at scanne .exe-filerne på systemet. Et tydeligt tegn på tilstedeværelsen af META Infostealer er den kontinuerlige trafik mellem dens nyttelast .exe-fil og operations Command-and-Control-serveren.

Trending

Indlæser...