META Infostealer

META Infostealer

META Infolstealer הוא זן חדש ומאיים שצבר אחיזה בקרב פושעי סייבר. איום התוכנה הזדונית הוא חלק מגל היצירות המזיקות שמטרתן למלא את הוואקום שנותר לאחר שמפעילי Raccoon Stealer הפסיקו את פעילותם. כתוצאה מכך, האקרים וארגוני האקרים רבים החלו לחפש סביבם את פלטפורמת ההתקפה הבאה שלהם, ונראה שה- META Infostealer הצליח לענות על רוב הצרכים שלהם. עד כה, ניתן לקבל גישה לתוכנה הזדונית עבור מנוי חודשי של $125 או תשלום בודד לכל החיים של $1000.

האיום מפורסם כגרסה חזקה ומשופרת יותר של RedLine . הוא יכול להשיג מידע רגיש ממכשירים נגועים, כגון אישורי כניסה וסיסמאות המאוחסנות בכמה מדפדפני האינטרנט הפופולריים ביותר, כגון Chrome, Firefox ו-Edge. בנוסף, התוקפים יכולים למנף את META Infostealer כדי לסכן את ארנקי המטבעות הקריפטו של הקורבן.

שרשרת ההתקפה

מומחה האבטחה ומטפל ה-ISC בראד דאנקן חשף קמפיין פעיל שנועד לפרוס את META Infostealer. שחקני האיום מפעילים את וקטור ההדבקה המנוסה של הפצת הודעות דואר זבל עם קבצים מצורפים מורעלים. הודעות דוא"ל פיתוי אלה עלולות להכיל טענות מפוברקות לחלוטין על העברות כספים או אירועים דחופים אחרים לכאורה הדורשים התייחסות מיידית מהמשתמש. כדי לראות מידע על הבעיה כביכול, הקורבנות מופנים לפתוח את הקובץ המצורף, שהוא גיליון אקסל עם מאקרו. כדי להיראות לגיטימי יותר, הקובץ נושא לוגו של DocuSign ומורה למשתמשים 'לאפשר תוכן', שלב הכרחי לביצוע מאקרו VBS פגום.

כאשר הסקריפט מופעל, הוא יאחזר ויעביר למכשיר המשתמש מספר מטענים המורכבים ממספר DLLs וקובצי הפעלה. הקבצים מאוחזרים מאתרים שונים, כגון GitHub. כדי למנוע זיהוי על ידי יישומי אבטחה, ייתכן שהקבצים שהורדו יהיו מקודדים base64 או שהבתים שלהם הופכים. המטען הסופי ייווצר במכשיר כקובץ בשם 'qwveqwveqw.exe.' סביר להניח שהשם הנבחר נוצר באקראי. מפתח רישום חדש יוזרק ויפעל כמנגנון התמדה. כחלק מפעולותיו, האיום גם ישתמש בפקודות PowerShell כדי לאלץ את Windows Defender להפסיק לסרוק את קבצי ה-.exe במערכת. סימן ברור לנוכחות של META Infostealer הוא התעבורה המתמשכת בין קובץ ה-.exe המטען שלו לבין שרת ה-Command-and-Control של הפעולות.

טוען...