META Infostealer

META Infolstealer on uusi, uhkaava kanta, joka on saanut vetoa kyberrikollisten keskuudessa. Haittaohjelmauhka on osa haitallisten luomusten aaltoa, jonka tarkoituksena on täyttää tyhjiö, joka jäi sen jälkeen, kun Raccoon Stealer -operaattorit lopettivat toimintansa. Tämän seurauksena monet hakkerit ja hakkeriorganisaatiot alkoivat etsiä seuraavaa hyökkäysalustaa, ja näyttää siltä, että META Infostealer on onnistunut täyttämään suurimman osan heidän tarpeistaan. Toistaiseksi haittaohjelmat ovat saatavilla 125 dollarin kuukausitilauksella tai 1000 dollarin elinikäisellä maksulla.

Uhkaa mainostetaan RedLinen tehokkaampana ja parannetun versiona. Se voi saada arkaluonteisia tietoja tartunnan saaneilta laitteilta, kuten kirjautumistiedot ja salasanat, jotka on tallennettu joihinkin suosituimpiin verkkoselaimiin, kuten Chrome, Firefox ja Edge. Lisäksi hyökkääjät voivat hyödyntää META Infostealeria vaarantaakseen uhrin kryptovaluuttalompakot.

Hyökkäysketju

Turvallisuusasiantuntija ja ISC-käsittelijä Brad Duncan paljasti aktiivisen kampanjan, joka oli suunniteltu META Infostealer -sovelluksen käyttöönottamiseksi. Uhkatoimijat käyttävät hyväksi havaittua tartuntavektoria, joka levittää roskapostiviestejä myrkytettyjen tiedostoliitteiden kanssa. Nämä houkutussähköpostit voivat sisältää täysin keksittyjä väitteitä varojen siirroista tai muista kiireellisiltä vaikuttavista tapahtumista, jotka vaativat käyttäjän välitöntä huomiota. Nähdäkseen tietoja oletetusta ongelmasta uhrit ohjataan avaamaan liitteenä oleva tiedosto, joka on makropituinen Excel-laskentataulukko. Jotta tiedosto näyttäisi aidolta, siinä on DocuSign-logo ja se kehottaa käyttäjiä "ottamaan sisällön käyttöön", mikä on välttämätön vaihe vioittuneen VBS-makron suorittamiseksi.

Kun komentosarja käynnistetään, se hakee ja toimittaa käyttäjän laitteelle useita hyötykuormia, jotka koostuvat useista DLL-tiedostoista ja suoritettavista tiedostoista. Tiedostot haetaan eri verkkosivustoilta, kuten GitHub. Jotta suojaussovellukset eivät havaitse niitä, poistetut tiedostot voivat olla base64-koodattuja tai niiden tavut voivat olla käänteisiä. Lopullinen hyötykuorma luodaan laitteeseen tiedostona nimeltä "qwveqwveqw.exe". Valittu nimi luodaan todennäköisesti satunnaisesti. Uusi rekisteriavain ruiskutetaan ja toimii pysyvyysmekanismina. Osana toimiaan uhka käyttää PowerShell-komentoja pakottaakseen Windows Defenderin lopettamaan järjestelmän .exe-tiedostojen tarkistamisen. Selkeä merkki META Infostealerin olemassaolosta on jatkuva liikenne sen hyötykuorman .exe-tiedoston ja toimintojen Command-and-Control -palvelimen välillä.