META Infostealer

META Infolstealer yra nauja, grėsminga atmaina, kuri vis labiau populiarėja tarp kibernetinių nusikaltėlių. Kenkėjiškų programų grėsmė yra žalingų kūrinių bangos dalis, kuria siekiama užpildyti vakuumą, likusį po to, kai „ Raccoon Stealer “ operatoriai sustabdė savo veiklą. Dėl to daugelis įsilaužėlių ir įsilaužėlių organizacijų pradėjo ieškoti kitos atakos platformos ir atrodo, kad META Infostealer sugebėjo patenkinti daugumą jų poreikių. Iki šiol prieigą prie kenkėjiškos programos galima gauti už 125 USD mėnesinę prenumeratą arba vieną 1000 USD mokėjimą visam gyvenimui.

Grėsmė reklamuojama kaip stipresnė ir patobulinta RedLine versija. Jis gali gauti slaptos informacijos iš užkrėstų įrenginių, pvz., prisijungimo duomenis ir slaptažodžius, saugomus kai kuriose populiariausiose žiniatinklio naršyklėse, pvz., „Chrome“, „Firefox“ ir „Edge“. Be to, užpuolikai gali panaudoti META Infostealer, kad pakenktų aukos kriptovaliutų piniginėms.

Atakos grandinė

Saugumo ekspertas ir ISC prižiūrėtojas Bradas Duncanas atskleidė aktyvią kampaniją, skirtą META Infostealer diegti. Grėsmės veikėjai naudoja išbandytą ir užkrėstą el. laiškų su užnuodytais failų priedais platinimo vektorių. Šiuose viliojančiuose el. laiškuose gali būti visiškai išgalvotų teiginių apie lėšų pervedimus ar kitus iš pažiūros neatidėliotinus įvykius, į kuriuos reikia nedelsiant atkreipti vartotojo dėmesį. Norėdami pamatyti informaciją apie numanomą problemą, aukos yra nukreipiamos atidaryti pridėtą failą, kuris yra makrokomandomis pažymėta Excel skaičiuoklė. Kad failas atrodytų teisėtesnis, jame yra „DocuSign“ logotipas ir naudotojams nurodoma „įjungti turinį“ – tai būtinas veiksmas norint vykdyti sugadintą VBS makrokomandą.

Kai scenarijus bus inicijuotas, jis pateiks ir pateiks į vartotojo įrenginį kelis naudingus krovinius, sudarytus iš kelių DLL ir vykdomųjų failų. Failai paimami iš skirtingų svetainių, tokių kaip „GitHub“. Kad saugos programos neaptiktų, išmesti failai gali būti užkoduoti base64 arba jų baitai gali būti pakeisti. Galutinė naudingoji apkrova bus sukurta įrenginyje kaip failas pavadinimu „qwveqwveqw.exe“. Tikėtina, kad pasirinktas vardas bus sugeneruotas atsitiktinai. Bus įvestas naujas registro raktas ir veiks kaip patvarumo mechanizmas. Vykdydama veiksmus, grėsmė taip pat naudos „PowerShell“ komandas, kad priverstų „Windows Defender“ sustabdyti .exe failų nuskaitymą sistemoje. Aiškus META Infostealer buvimo ženklas yra nuolatinis srautas tarp jo naudingos apkrovos .exe failo ir operacijų komandų ir valdymo serverio.