META Infostealer

META Infolstealer एक नया, खतरनाक तनाव है जो साइबर अपराधियों के बीच कर्षण प्राप्त कर रहा है। मैलवेयर का खतरा हानिकारक कृतियों की लहर का हिस्सा है जिसका उद्देश्य Raccoon Stealer के संचालकों द्वारा अपनी गतिविधियों को रोकने के बाद छोड़े गए निर्वात को भरना है। नतीजतन, कई हैकर्स और हैकर संगठनों ने अपने अगले हमले के मंच की तलाश शुरू कर दी, और ऐसा लगता है कि META Infostealer उनकी अधिकांश जरूरतों को पूरा करने में कामयाब रहा है। अब तक, मैलवेयर तक पहुंच $125 की मासिक सदस्यता या $1000 के एकल आजीवन भुगतान के लिए प्राप्त की जा सकती है।

खतरे को RedLine के अधिक शक्तिशाली और उन्नत संस्करण के रूप में विज्ञापित किया जा रहा है। यह संक्रमित उपकरणों से संवेदनशील जानकारी प्राप्त कर सकता है, जैसे कि कुछ सबसे लोकप्रिय वेब ब्राउज़र, जैसे क्रोम, फ़ायरफ़ॉक्स और एज में संग्रहीत लॉगिन क्रेडेंशियल और पासवर्ड। इसके अलावा, हमलावर पीड़ित के क्रिप्टोक्यूरेंसी वॉलेट से समझौता करने के लिए META Infostealer का लाभ उठा सकते हैं।

हमले की श्रृंखला

सुरक्षा विशेषज्ञ और ISC हैंडलर ब्रैड डंकन ने META Infostealer को तैनात करने के लिए डिज़ाइन किए गए एक सक्रिय अभियान का खुलासा किया। ज़हरीले फ़ाइल अटैचमेंट के साथ स्पैम ईमेल का प्रसार करने के लिए थ्रेट एक्टर्स आजमाए हुए और संक्रमण वेक्टर के माध्यम से काम करते हैं। इन लुभावने ईमेल में फंड ट्रांसफर या अन्य आवश्यक घटनाओं के बारे में पूरी तरह से मनगढ़ंत दावे हो सकते हैं, जिन पर उपयोगकर्ता को तत्काल ध्यान देने की आवश्यकता होती है। कथित मुद्दे के बारे में जानकारी देखने के लिए, पीड़ितों को संलग्न फ़ाइल खोलने के लिए निर्देशित किया जाता है, जो एक मैक्रो-लेस एक्सेल स्प्रेडशीट है। अधिक वैध दिखने के लिए, फ़ाइल में एक दस्तावेज़ साइन लोगो होता है और उपयोगकर्ताओं को 'सामग्री सक्षम करने' के लिए निर्देश देता है, जो एक दूषित वीबीएस मैक्रो के निष्पादन के लिए एक आवश्यक कदम है।

जब स्क्रिप्ट शुरू की जाती है, तो यह उपयोगकर्ता के डिवाइस पर कई डीएलएल और निष्पादन योग्य सहित कई पेलोड लाएगा और वितरित करेगा। फ़ाइलें विभिन्न वेबसाइटों, जैसे कि GitHub से पुनर्प्राप्त की जाती हैं। सुरक्षा अनुप्रयोगों द्वारा पता लगाए जाने से बचने के लिए, छोड़ी गई फ़ाइलें बेस 64 एन्कोडेड हो सकती हैं या उनके बाइट उलट हो सकते हैं। अंतिम पेलोड डिवाइस पर 'qwveqwveqw.exe' नामक फ़ाइल के रूप में बनाया जाएगा। चुना हुआ नाम यादृच्छिक रूप से उत्पन्न होने की संभावना है। एक नई रजिस्ट्री कुंजी इंजेक्ट की जाएगी और दृढ़ता तंत्र के रूप में कार्य करेगी। अपने कार्यों के हिस्से के रूप में, खतरा विंडोज डिफेंडर को सिस्टम पर .exe फ़ाइलों को स्कैन करना बंद करने के लिए मजबूर करने के लिए पावरशेल कमांड का भी उपयोग करेगा। META Infostealer की उपस्थिति का एक स्पष्ट संकेत इसकी पेलोड .exe फ़ाइल और संचालन कमांड-एंड-कंट्रोल सर्वर के बीच निरंतर ट्रैफ़िक है।