Meh Malware
O Meh Malware é um ladrão de senhas e, principalmente, um keylogger, mas seus recursos ameaçadores se espalham muito além disso e abrangem uma ampla gama de funções. O malware consiste em duas partes - um criptografador chamado MehCrypter e o núcleo real da ameaça chamado Meh.
O componente criptografador passa por vários estágios projetados para entregar e ofuscar as etapas iniciais da cadeia de ataque do Malware Meh. Primeiro, ele inicia um dropper que baixa três arquivos adicionais dos servidores de comando e controle por meio de solicitações HTTP POST. Os arquivos são pe.bin, base.au3 e autoit.exe, e todos os três são salvos no diretório C:\testintel2\. O binário Meh principal está contido no binário pe.bin, decriptografado pela terceira etapa das operações do MehCrypter.
Quando totalmente implantado, o Meh Malware oferece aos agentes da ameaça controle quase total sobre o sistema comprometido. Ele pode obter conteúdo da área de transferência, conduzir keylogging, coletar carteiras de criptomoedas, inserir arquivos adicionais em clientes de torrent, implantar e executar um malware de criptomoeda XMRig e muito mais. O Meh Malwaretambém vem com um versátil módulo de Trojan de Acesso Remoto (RAT) que reconhece e executa cerca de 45 comandos diferentes. Quase todas as diferentes funcionalidades do Meh Malware são executadas por subthreads, que são executados por meio de injeções em processos legítimos do Windows.
O segundo segmento é um ladrão de senhas, chamado Meh. O ladrão é o centro da ameaça e carrega muitas funcionalidades. O ladrão é capaz de baixar arquivos adicionais por meio de torrents, coletar conteúdo da área de transferência, keylogging, coletar carteiras de criptomoedas e muito mais. Quase todas as suas funcionalidades são realizadas em subthreads, executados a partir de processos injetados. Os principais tópicos observados no Meh Malware são:
- Tópico de injeção
- Thread de instalação e persistência
- Tópico de verificação anti-AV
- Fio de criptomineração
- Tópico de download torrent
- Tópico de roubo e keylogging da área de transferência
- Carteiras criptográficas roubando fio
- Tópico de fraude de publicidade
Como indicam os nomes dos primeiros threads, o Malware Meh executa várias ações, facilitando seu estabelecimento no sistema comprometido. A ameaça cria um mecanismo de persistência e verifica a presença de várias soluções anti-malware.
O núcleo principal da atividade do Malware Meh é coletar e exfiltrar vários dados. Além das funções usuais do infostealer, como keylogging e interceptação de conteúdo da área de transferência, a ameaça também visa carteiras de criptomoedas para Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax e Exodus. E se isso não bastasse, ao receber os parâmetros apropriados, a ameaça também pode conduzir uma fraude publicitária ao forçar cliques em páginas de anúncios arbitrárias.
Os recursos já extensos do Malware Meh são potencializados ainda mais com a presença de um módulo RAT. Por meio dele, os hackers podem manipular o sistema de arquivos, coletar senhas e cookies do navegador, gerenciar a atividade de criptominação e fornecer criptominadores adicionais, usar a linha de comando, etc. Um comando específico vê o módulo RAT excluindo as cópias de sombra criadas pelo Windows sistema, indicando uma ameaça potencial de ransomware sendo incorporada ao Malware Meh em algum momento futuro.