META Infostealer

De META Infolstealer is een nieuwe, bedreigende soort die aan populariteit wint onder cybercriminelen. De malwaredreiging maakt deel uit van de golf van schadelijke creaties die bedoeld zijn om het vacuüm te vullen dat is ontstaan nadat de operators van Raccoon Stealer hun activiteiten stopzetten. Als gevolg hiervan begonnen veel hackers en hackerorganisaties rond te kijken naar hun volgende aanvalsplatform, en het lijkt erop dat de META Infostealer erin is geslaagd om aan de meeste van hun behoeften te voldoen. Tot nu toe kan toegang tot de malware worden verkregen voor een maandelijks abonnement van $ 125 of een eenmalige levenslange betaling van $ 1000.

De dreiging wordt geadverteerd als een krachtigere en verbeterde versie van RedLine. Het kan gevoelige informatie verkrijgen van geïnfecteerde apparaten, zoals inloggegevens en wachtwoorden die zijn opgeslagen in enkele van de meest populaire webbrowsers, zoals Chrome, Firefox en Edge. Bovendien kunnen de aanvallers de META Infostealer gebruiken om de cryptocurrency-portefeuilles van het slachtoffer te compromitteren.

De aanvalsketen

De beveiligingsexpert en ISC Handler Brad Duncan ontdekte een actieve campagne die was ontworpen om de META Infostealer in te zetten. De bedreigingsactoren gebruiken de beproefde infectievector van het verspreiden van spam-e-mails met vergiftigde bestandsbijlagen. Deze verlokkende e-mails kunnen volledig verzonnen beweringen bevatten over geldoverdrachten of andere schijnbaar urgente gebeurtenissen die onmiddellijke aandacht van de gebruiker vereisen. Om informatie over het vermeende probleem te zien, wordt de slachtoffers gevraagd het bijgevoegde bestand te openen, een Excel-spreadsheet vol macro's. Om legitiemer te lijken, draagt het bestand een DocuSign-logo en instrueert het gebruikers om 'inhoud in te schakelen', een noodzakelijke stap voor het uitvoeren van een beschadigde VBS-macro.

Wanneer het script wordt gestart, zal het verschillende payloads die uit meerdere DLL's en uitvoerbare bestanden bestaan, ophalen en afleveren op het apparaat van de gebruiker. De bestanden worden opgehaald van verschillende websites, zoals GitHub. Om te voorkomen dat ze door beveiligingstoepassingen worden gedetecteerd, kunnen de verwijderde bestanden base64-gecodeerd zijn of dat hun bytes zijn omgedraaid. De uiteindelijke payload wordt op het apparaat aangemaakt als een bestand met de naam 'qwveqwveqw.exe'. De gekozen naam wordt waarschijnlijk willekeurig gegenereerd. Een nieuwe registersleutel wordt geïnjecteerd en fungeert als een persistentiemechanisme. Als onderdeel van zijn acties zal de dreiging ook PowerShell-opdrachten gebruiken om Windows Defender te dwingen te stoppen met het scannen van de .exe-bestanden op het systeem. Een duidelijk teken van de aanwezigheid van de META Infostealer is het continue verkeer tussen zijn payload .exe-bestand en de Operations Command-and-Control-server.