Meh Malware
De Meh Malware is voornamelijk een wachtwoordsteler en een keylogger, maar de bedreigende mogelijkheden strekken zich veel verder uit en omvatten een hele reeks functies. De malware bestaat uit twee delen: een cryptor genaamd MehCrypter en de eigenlijke kern van de dreiging genaamd Meh.
De cryptorcomponent doorloopt verschillende fasen die zijn ontworpen om de eerste stappen van de aanvalsketen van Meh Malware te leveren en te verdoezelen. Het start eerst een dropper die drie extra bestanden downloadt van de Command-and-Control-servers via HTTP POST-verzoeken. De bestanden zijn pe.bin, base.au3 en autoit.exe, en alle drie worden opgeslagen in de map C: \ testintel2 \. Het belangrijkste Meh-binaire bestand bevindt zich in het pe.bin-binair bestand, gedecodeerd door de derde stap van de MehCrypter-bewerkingen.
Wanneer Meh Malware volledig is geïmplementeerd, geeft het de bedreigingsactoren bijna volledige controle over het gecompromitteerde systeem. Het kan klembordinhoud verkrijgen, keylogging uitvoeren, cryptocurrency-portefeuilles verzamelen, extra bestanden via torrent-clients neerzetten, XMRig-cryptomining- malware implementeren en uitvoeren en meer. De Meh Malware wordt ook geleverd met een veelzijdige Remote Access Trojan (RAT) -module die ongeveer 45 verschillende opdrachten herkent en uitvoert. Bijna alle verschillende functionaliteiten van Meh Malware worden uitgevoerd door subthreads, die worden uitgevoerd door injecties te maken in legitieme Windows-processen.
Het tweede segment is een wachtwoord-stealer, genaamd Meh. De stealer is het centrum van de dreiging en heeft veel functionaliteiten. De stealer kan extra bestanden downloaden via torrents, klembordinhoud verzamelen, keylogging, cryptocurrency-portefeuilles verzamelen en nog veel meer. Bijna al zijn functionaliteiten worden uitgevoerd in subthreads, uitgevoerd vanuit geïnjecteerde processen. De belangrijkste threads die worden waargenomen in Meh Malware zijn:
- Injectie draad
- Installatie- en persistentiedraad
- Anti-AV-schroefdraad
- Cryptomining-thread
- Torrent-downloadthread
- Klembord stelen en keylogging thread
- Crypto-portefeuilles die draad stelen
- Advertentie fraude draad
Zoals de namen van de eerste threads aangeven, voert de Meh Malware verschillende acties uit om de installatie op het gecompromitteerde systeem te vergemakkelijken. De dreiging creëert een persistentiemechanisme en voert controles uit op de aanwezigheid van verschillende anti-malwareoplossingen.
De belangrijkste kern van de activiteit van Meh Malware is het oogsten en exfiltreren van verschillende gegevens. Afgezien van de gebruikelijke infostealer-functies zoals keylogging en het onderscheppen van klembordinhoud, richt de dreiging zich ook op cryptocurrency wallets voor Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax en Exodus. En alsof dat nog niet genoeg is, kan de dreiging, door de juiste parameters te ontvangen, ook advertentiefraude plegen door het forceren van klikken op willekeurige advertentiepagina's.
De reeds uitgebreide mogelijkheden van de Meh Malware worden verder versterkt door de aanwezigheid van een RAT-module. Hierdoor kunnen de hackers het bestandssysteem manipuleren, browserwachtwoorden en cookies verzamelen, de cryptomining-activiteit beheren en extra cryptominers leveren, de opdrachtregel gebruiken, enz. Een bepaald commando ziet dat de RAT-module de schaduwkopieën verwijdert die door Windows zijn gemaakt. systeem, wat aangeeft dat een potentiële ransomware-dreiging in de toekomst in de Meh Malware wordt opgenomen.
