META Infostealer

META Infostealer

A META Infolstealer egy új, fenyegető törzs, amely egyre nagyobb teret hódít a kiberbűnözők körében. A rosszindulatú programokkal való fenyegetés része annak a káros alkotások hullámának, amelyek célja a Raccoon Stealer üzemeltetőinek abbahagyása után keletkezett űr betöltése. Ennek eredményeként sok hacker és hackerszervezet elkezdett keresgélni a következő támadási platform után, és úgy tűnik, hogy a META Infostealernek sikerült kielégítenie a legtöbb igényeit. Eddig havi 125 dolláros előfizetéssel vagy 1000 dolláros egyszeri, élettartamra szóló fizetéssel lehet hozzáférni a kártevőhöz.

A fenyegetést a RedLine erősebb és továbbfejlesztett változataként hirdetik. Érzékeny információkat szerezhet be a fertőzött eszközökről, például bejelentkezési hitelesítő adatokat és jelszavakat, amelyeket néhány legnépszerűbb webböngésző (például Chrome, Firefox és Edge) tárol. Ezenkívül a támadók a META Infostealer segítségével veszélyeztethetik az áldozat kriptovaluta pénztárcáját.

A támadási lánc

A biztonsági szakértő és az ISC-kezelő, Brad Duncan egy aktív kampányt tárt fel a META Infostealer bevezetésére. A fenyegetés szereplői a megmérgezett fájlmellékletekkel ellátott spam e-mailek terjesztésének kipróbált és átjárható fertőzési vektorát alkalmazzák. Ezek a csalogató e-mailek teljesen kitalált állításokat tartalmazhatnak pénzátutalásokról vagy más, sürgősnek tűnő eseményekről, amelyek azonnali figyelmet igényelnek a felhasználótól. A feltételezett problémával kapcsolatos információk megtekintéséhez az áldozatok a csatolt fájl megnyitására utasítják, amely egy makrófüzetes Excel-táblázat. A jogszerűbb megjelenés érdekében a fájl DocuSign logót tartalmaz, és arra utasítja a felhasználókat, hogy „engedélyezzék a tartalmat”, ami szükséges lépés a sérült VBS-makró végrehajtásához.

Amikor a szkript elindul, több DLL-ből és végrehajtható fájlból álló rakományt kér le és szállít a felhasználó eszközére. A fájlok különböző webhelyekről, például a GitHubról származnak. A biztonsági alkalmazások észlelésének elkerülése érdekében az eldobott fájlok base64 kódolásúak lehetnek, vagy bájtjaik megfordulhatnak. A végső hasznos adat egy „qwveqwveqw.exe” nevű fájlként jön létre az eszközön. A kiválasztott név valószínűleg véletlenszerűen jön létre. A rendszer egy új rendszerleíró kulcsot injektál be, és a rendszer fenntartó mechanizmusként működik. Műveleteinek részeként a fenyegetés PowerShell-parancsokat is használ, hogy a Windows Defendert leállítsa a rendszeren lévő .exe fájlok vizsgálatának leállítására. A META Infostealer jelenlétének egyértelmű jele a hasznos .exe fájl és a műveleti Command-and-Control szerver közötti folyamatos forgalom.

Loading...