메타 인포스틸러

META Infolstealer는 사이버 범죄자들 사이에서 주목을 받고 있는 위협적인 새로운 변종입니다. 맬웨어 위협은 Raccoon Stealer 의 운영자가 활동을 중단한 후 남은 공백을 메우기 위한 해로운 창조물의 물결의 일부입니다. 그 결과 많은 해커와 해커 조직이 다음 공격 플랫폼을 찾기 시작했고 META Infostealer가 대부분의 요구 사항을 충족한 것으로 보입니다. 지금까지 125달러의 월간 구독 또는 1,000달러의 단일 평생 결제로 멀웨어에 액세스할 수 있습니다.

위협은 RedLine 의 더 강력하고 개선된 버전으로 광고되고 있습니다. Chrome, Firefox 및 Edge와 같이 가장 널리 사용되는 웹 브라우저에 저장된 로그인 자격 증명 및 비밀번호와 같은 감염된 장치에서 민감한 정보를 얻을 수 있습니다. 또한 공격자는 META Infostealer를 활용하여 피해자의 암호화폐 지갑을 손상시킬 수 있습니다.

공격 사슬

보안 전문가이자 ISC 처리자인 Brad Duncan은 META Infostealer를 배포하기 위해 설계된 활성 캠페인을 발견했습니다. 위협 행위자는 악성 첨부 파일이 포함된 스팸 이메일을 유포하는 감염 경로를 사용합니다. 이러한 미끼 이메일에는 자금 이체 또는 사용자의 즉각적인 주의가 필요한 기타 긴급한 사건에 대해 완전히 조작된 주장이 포함될 수 있습니다. 추정되는 문제에 대한 정보를 확인하기 위해 피해자는 매크로로 묶인 Excel 스프레드시트인 첨부 파일을 열도록 지시받았습니다. 보다 합법적으로 보이도록 파일에는 DocuSign 로고가 있으며 손상된 VBS 매크로를 실행하는 데 필요한 단계인 '콘텐츠 사용'을 사용자에게 지시합니다.

스크립트가 시작되면 여러 DLL과 실행 파일로 구성된 여러 페이로드를 가져와 사용자의 장치에 전달합니다. 파일은 GitHub와 같은 다른 웹 사이트에서 검색됩니다. 보안 응용 프로그램에서 감지되지 않도록 삭제된 파일은 base64로 인코딩되거나 바이트가 반전될 수 있습니다. 최종 페이로드는 'qwveqwveqw.exe'라는 파일로 장치에 생성됩니다. 선택한 이름은 무작위로 생성될 수 있습니다. 새 레지스트리 키가 삽입되고 지속성 메커니즘으로 작동합니다. 위협은 작업의 일부로 PowerShell 명령을 사용하여 Windows Defender가 시스템의 .exe 파일 검색을 중지하도록 합니다. META Infostealer가 존재한다는 분명한 신호는 페이로드 .exe 파일과 C&C(Command-and-Control) 서버 간의 지속적인 트래픽입니다.