META Infostealer

Το META Infolstealer είναι ένα νέο, απειλητικό στέλεχος που έχει κερδίσει την έλξη μεταξύ των εγκληματιών του κυβερνοχώρου. Η απειλή κακόβουλου λογισμικού είναι μέρος του κύματος επιβλαβών δημιουργιών που στοχεύουν στην κάλυψη του κενού που απομένει μετά τη διακοπή των δραστηριοτήτων των χειριστών του Raccoon Stealer . Ως αποτέλεσμα, πολλοί χάκερ και οργανώσεις χάκερ άρχισαν να αναζητούν την επόμενη πλατφόρμα επίθεσης τους και φαίνεται ότι το META Infostealer κατάφερε να καλύψει τις περισσότερες από τις ανάγκες τους. Μέχρι στιγμής, η πρόσβαση στο κακόβουλο λογισμικό μπορεί να επιτευχθεί με μηνιαία συνδρομή 125 $ ή μια εφάπαξ ισόβια πληρωμή 1000 $.

Η απειλή διαφημίζεται ως μια πιο ισχυρή και βελτιωμένη έκδοση του RedLine . Μπορεί να λάβει ευαίσθητες πληροφορίες από μολυσμένες συσκευές, όπως διαπιστευτήρια σύνδεσης και κωδικούς πρόσβασης που είναι αποθηκευμένοι σε μερικά από τα πιο δημοφιλή προγράμματα περιήγησης Ιστού, όπως το Chrome, το Firefox και το Edge. Επιπλέον, οι εισβολείς μπορούν να αξιοποιήσουν το META Infostealer για να θέσει σε κίνδυνο τα πορτοφόλια κρυπτονομισμάτων του θύματος.

Η αλυσίδα της επίθεσης

Ο ειδικός σε θέματα ασφάλειας και ο χειριστής ISC Brad Duncan αποκάλυψε μια ενεργή καμπάνια που σχεδιάστηκε για την ανάπτυξη του META Infostealer. Οι φορείς απειλών χρησιμοποιούν τον δοκιμασμένο και μέσω μόλυνσης φορέα διάδοσης ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου με δηλητηριασμένα συνημμένα αρχείων. Αυτά τα δελεαστικά μηνύματα ηλεκτρονικού ταχυδρομείου θα μπορούσαν να περιέχουν εντελώς κατασκευασμένους ισχυρισμούς σχετικά με μεταφορές κεφαλαίων ή άλλα φαινομενικά επείγοντα γεγονότα που χρειάζονται άμεση προσοχή από τον χρήστη. Για να δουν πληροφορίες σχετικά με το υποτιθέμενο ζήτημα, τα θύματα κατευθύνονται να ανοίξουν το συνημμένο αρχείο, το οποίο είναι ένα υπολογιστικό φύλλο Excel με μακροεντολές. Για να φαίνεται πιο νόμιμο, το αρχείο φέρει ένα λογότυπο DocuSign και καθοδηγεί τους χρήστες να «ενεργοποιήσουν το περιεχόμενο», ένα απαραίτητο βήμα για την εκτέλεση μιας κατεστραμμένης μακροεντολής VBS.

Όταν εκκινηθεί το σενάριο, θα ανακτήσει και θα παραδώσει στη συσκευή του χρήστη πολλά ωφέλιμα φορτία που αποτελούνται από πολλά DLL και εκτελέσιμα. Τα αρχεία ανακτώνται από διαφορετικούς ιστότοπους, όπως το GitHub. Για να αποφευχθεί ο εντοπισμός τους από εφαρμογές ασφαλείας, τα απορριπτόμενα αρχεία ενδέχεται να είναι κωδικοποιημένα με βάση το 64 ή να έχουν αντιστραφεί τα byte τους. Το τελικό ωφέλιμο φορτίο θα δημιουργηθεί στη συσκευή ως αρχείο με το όνομα "qwveqwveqw.exe". Το επιλεγμένο όνομα είναι πιθανό να δημιουργηθεί τυχαία. Ένα νέο κλειδί μητρώου θα εγχυθεί και θα λειτουργεί ως μηχανισμός επιμονής. Ως μέρος των ενεργειών της, η απειλή θα χρησιμοποιήσει επίσης εντολές PowerShell για να αναγκάσει το Windows Defender να σταματήσει τη σάρωση των αρχείων .exe στο σύστημα. Ένα σαφές σημάδι της παρουσίας του META Infostealer είναι η συνεχής κίνηση μεταξύ του αρχείου .exe ωφέλιμου φορτίου και του διακομιστή Command-and-Control λειτουργιών.