META Infostealer

Il META Infolstealer è un nuovo ceppo minaccioso che sta guadagnando terreno tra i criminali informatici. La minaccia malware fa parte dell'ondata di creazioni dannose volte a colmare il vuoto lasciato dopo che gli operatori di Raccoon Stealer hanno interrotto le loro attività. Di conseguenza, molti hacker e organizzazioni di hacker hanno iniziato a cercare la loro prossima piattaforma di attacco e sembra che META Infostealer sia riuscito a soddisfare la maggior parte delle loro esigenze. Finora, l'accesso al malware può essere ottenuto con un abbonamento mensile di $ 125 o un unico pagamento a vita di $ 1000.

La minaccia viene pubblicizzata come una versione più potente e migliorata di RedLine. Può ottenere informazioni sensibili da dispositivi infetti, come credenziali di accesso e password memorizzate in alcuni dei browser Web più diffusi, come Chrome, Firefox ed Edge. Inoltre, gli aggressori possono sfruttare META Infostealer per compromettere i portafogli di criptovaluta della vittima.

La catena d'attacco

L'esperto di sicurezza e gestore ISC Brad Duncan ha scoperto una campagna attiva progettata per implementare il META Infostealer. Gli attori della minaccia utilizzano il vettore di infezione provato e attraverso la diffusione di e-mail di spam con allegati di file avvelenati. Queste e-mail di richiamo potrebbero contenere affermazioni completamente inventate su trasferimenti di fondi o altri eventi apparentemente urgenti che richiedono un'attenzione immediata da parte dell'utente. Per visualizzare le informazioni sul presunto problema, le vittime vengono indirizzate ad aprire il file allegato, che è un foglio di calcolo Excel con macro. Per apparire più legittimo, il file porta un logo DocuSign e indica agli utenti di "abilitare il contenuto", un passaggio necessario per l'esecuzione di una macro VBS danneggiata.

Quando lo script viene avviato, recupererà e consegnerà al dispositivo dell'utente diversi payload costituiti da più DLL ed eseguibili. I file vengono recuperati da diversi siti Web, come GitHub. Per evitare di essere rilevati dalle applicazioni di sicurezza, i file eliminati possono essere codificati in base64 o avere i loro byte invertiti. Il payload finale verrà creato sul dispositivo come file denominato 'qwveqwveqw.exe.' È probabile che il nome scelto venga generato a caso. Verrà iniettata una nuova chiave di registro che fungerà da meccanismo di persistenza. Come parte delle sue azioni, la minaccia utilizzerà anche i comandi di PowerShell per forzare Windows Defender a interrompere la scansione dei file .exe nel sistema. Un chiaro segno della presenza del META Infostealer è il traffico continuo tra il suo file .exe di payload e il server di comando e controllo delle operazioni.