META Infostealer

META Infolstealer to nowa, groźna odmiana, która zyskuje na popularności wśród cyberprzestępców. Zagrożenie złośliwym oprogramowaniem jest częścią fali szkodliwych kreacji, których celem jest wypełnienie pustki powstałej po zaprzestaniu działalności przez operatorów Raccoon Stealer. W rezultacie wielu hakerów i organizacji hakerskich zaczęło rozglądać się za swoją kolejną platformą do ataków i wydaje się, że META Infostealer zdołał zaspokoić większość ich potrzeb. Jak dotąd dostęp do szkodliwego oprogramowania można uzyskać za miesięczną subskrypcję w wysokości 125 USD lub pojedynczą dożywotnią płatność w wysokości 1000 USD.

Zagrożenie jest reklamowane jako silniejsza i ulepszona wersja RedLine. Może uzyskiwać poufne informacje z zainfekowanych urządzeń, takie jak dane logowania i hasła przechowywane w niektórych najpopularniejszych przeglądarkach internetowych, takich jak Chrome, Firefox i Edge. Ponadto osoby atakujące mogą wykorzystać META Infostealer do skompromitowania portfeli kryptowalut ofiary.

Łańcuch Ataku

Ekspert ds. bezpieczeństwa i ISC Handler, Brad Duncan, odkryli aktywną kampanię mającą na celu wdrożenie META Infostealer. Cyberprzestępcy wykorzystują sprawdzony wektor infekcji polegający na rozpowszechnianiu wiadomości spamowych z zatrutymi załącznikami. Te e-maile z przynętą mogą zawierać całkowicie sfabrykowane twierdzenia dotyczące transferów środków lub innych pozornie pilnych wydarzeń, które wymagają natychmiastowej uwagi użytkownika. Aby zobaczyć informacje o rzekomym problemie, ofiary są proszone o otwarcie załączonego pliku, który jest arkuszem kalkulacyjnym Excela z makrami. Aby wyglądać bardziej wiarygodnie, plik zawiera logo DocuSign i instruuje użytkowników, aby „włączyli zawartość”, co jest krokiem niezbędnym do wykonania uszkodzonego makra VBS.

Gdy skrypt zostanie zainicjowany, pobierze i dostarczy do urządzenia użytkownika kilka ładunków składających się z wielu bibliotek DLL i plików wykonywalnych. Pliki są pobierane z różnych stron internetowych, takich jak GitHub. Aby uniknąć wykrycia przez aplikacje zabezpieczające, porzucone pliki mogą być zakodowane w base64 lub mieć odwrócone bajty. Ostateczny ładunek zostanie utworzony na urządzeniu jako plik o nazwie „qwveqwveqw.exe”. Wybrana nazwa prawdopodobnie zostanie wygenerowana losowo. Nowy klucz rejestru zostanie wstrzyknięty i będzie działał jako mechanizm trwałości. W ramach swoich działań zagrożenie użyje również poleceń PowerShell, aby zmusić program Windows Defender do zaprzestania skanowania plików .exe w systemie. Wyraźnym znakiem obecności META Infostealer jest ciągły ruch między jego plikiem .exe z ładunkiem a serwerem operacji Command-and-Control.