Meh Malware

Meh Malware è principalmente un ladro di password e un keylogger, ma le sue capacità minacciose si estendono ben oltre e comprendono un'intera gamma di funzioni. Il malware è composto da due parti: un cryptor chiamato MehCrypter e il vero nucleo della minaccia chiamato Meh.

Il componente cryptor attraversa diverse fasi progettate per fornire e offuscare i passaggi iniziali della catena di attacchi di Meh Malware. Innanzitutto avvia un contagocce che scarica tre file aggiuntivi dai server Command-and-Control tramite richieste HTTP POST. I file sono pe.bin, base.au3 e autoit.exe e tutti e tre vengono salvati nella directory C: \ testintel2 \. Il binario principale di Meh è contenuto nel binario pe.bin, decifrato dal terzo passo di stager delle operazioni di MehCrypter.

Quando è completamente distribuito, Meh Malware offre agli autori delle minacce un controllo quasi completo sul sistema compromesso. Può ottenere il contenuto degli appunti, eseguire keylogging, raccogliere portafogli di criptovaluta, rilasciare file aggiuntivi tramite client torrent, distribuire ed eseguire un malware di cryptomining XMRig e altro ancora. Meh Malware è inoltre dotato di un versatile modulo RAT (Remote Access Trojan) che riconosce ed esegue circa 45 diversi comandi. Quasi tutte le diverse funzionalità di Meh Malware vengono eseguite da thread secondari, che vengono eseguiti effettuando iniezioni a processi Windows legittimi.

Il secondo segmento è un ladro di password, chiamato Meh. Il ladro è il centro della minaccia e trasporta molte funzionalità. Il ladro è in grado di scaricare file aggiuntivi tramite torrent, raccogliere contenuti negli appunti, keylogging, raccogliere portafogli di criptovaluta e molto altro ancora. Quasi tutte le sue funzionalità sono eseguite in subthread, eseguite da processi iniettati. I principali thread osservati in Meh Malware sono:

• Filo di iniezione
• Installazione e thread di persistenza
• Filo di controllo anti-AV
• Filo di crittografia
• Thread di download del torrent
• Rubare appunti e thread di keylogging
• Portafogli crittografici che rubano filo
• Thread di frode pubblicitaria

Come indicano i nomi dei primi thread, Meh Malware esegue diverse azioni facilitando la sua installazione sul sistema compromesso. La minaccia crea un meccanismo di persistenza ed esegue controlli per la presenza di diverse soluzioni anti-malware.

Il nucleo principale dell'attività di Meh Malware è raccogliere ed estrarre vari dati. Oltre alle solite funzioni di infostealer come il keylogging e l'intercettazione del contenuto degli appunti, la minaccia prende di mira anche i portafogli di criptovaluta per Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax ed Exodus. E se ciò non bastasse, ricevendo i parametri appropriati, la minaccia può anche condurre una frode pubblicitaria avviando clic forzati su pagine di annunci arbitrari.

Le già ampie capacità di Meh Malware sono ulteriormente potenziate dalla presenza di un modulo RAT. Attraverso di esso, gli hacker possono manipolare il file system, raccogliere password del browser e cookie, gestire l'attività di cryptomining e fornire ulteriori cryptominer, utilizzare la riga di comando, ecc. Un comando particolare vede il modulo RAT eliminare le copie shadow create da Windows sistema, indicando una potenziale minaccia ransomware incorporata in Meh Malware in un momento futuro.