META Infostealer

META Infolstealer ir jauns, draudīgs celms, kas gūst panākumus kibernoziedznieku vidū. Ļaunprātīgas programmatūras draudi ir daļa no kaitīgu darbu viļņa, kura mērķis ir aizpildīt vakuumu, kas radās pēc Raccoon Stealer operatoru darbības pārtraukšanas. Rezultātā daudzi hakeri un hakeru organizācijas sāka meklēt savu nākamo uzbrukuma platformu, un šķiet, ka META Infostealer ir spējis apmierināt lielāko daļu viņu vajadzību. Līdz šim piekļuvi ļaunprogrammatūrai var iegūt par ikmēneša abonementu USD 125 vai vienu mūža maksājumu USD 1000 apmērā.

Draudi tiek reklamēti kā spēcīgāka un uzlabota RedLine versija. Tas var iegūt sensitīvu informāciju no inficētām ierīcēm, piemēram, pieteikšanās akreditācijas datus un paroles, kas saglabātas dažās populārākajās tīmekļa pārlūkprogrammās, piemēram, Chrome, Firefox un Edge. Turklāt uzbrucēji var izmantot META Infostealer, lai apdraudētu upura kriptovalūtas makus.

Uzbrukuma ķēde

Drošības eksperts un ISC apdarinātājs Breds Dankans atklāja aktīvu kampaņu, kas paredzēta META Infostealer izvietošanai. Apdraudējumi izmanto pārbaudītu un cauri infekcijas vektoru, izplatot surogātpasta e-pastus ar saindētu failu pielikumiem. Šajos pievilināšanas e-pastos var būt ietverti pilnīgi safabricēti apgalvojumi par līdzekļu pārskaitījumiem vai citiem šķietami steidzamiem notikumiem, kuriem lietotājam nepieciešama tūlītēja uzmanība. Lai redzētu informāciju par iespējamo problēmu, cietušajiem tiek piedāvāts atvērt pievienoto failu, kas ir Excel izklājlapa ar makro saiti. Lai fails izskatītos likumīgāks, tam ir DocuSign logotips, un tas lietotājiem norāda “iespējot saturu”, kas ir nepieciešama darbība bojāta VBS makro izpildei.

Kad skripts tiek iniciēts, tas ienesīs un lietotāja ierīcē nogādās vairākas lietderīgās slodzes, kas sastāv no vairākiem DLL un izpildāmiem failiem. Faili tiek izgūti no dažādām vietnēm, piemēram, GitHub. Lai drošības lietojumprogrammas tos neatklātu, nomestie faili var būt base64 kodēti vai to baiti var būt apgriezti. Galīgā slodze tiks izveidota ierīcē kā fails ar nosaukumu “qwveqwveqw.exe”. Izvēlētais nosaukums, visticamāk, tiks ģenerēts nejauši. Tiks ievadīta jauna reģistra atslēga, kas darbosies kā noturības mehānisms. Savu darbību ietvaros draudi izmantos arī PowerShell komandas, lai piespiestu Windows Defender pārtraukt .exe failu skenēšanu sistēmā. Skaidra zīme META Infostealer klātbūtnei ir nepārtraukta trafika starp tā lietderīgās slodzes .exe failu un operāciju Command-and-Control serveri.