Meh Malware

Descrição do Meh Malware

O Meh Malware é um ladrão de senhas e, principalmente, um keylogger, mas seus recursos ameaçadores se espalham muito além disso e abrangem uma ampla gama de funções. O malware consiste em duas partes - um criptografador chamado MehCrypter e o núcleo real da ameaça chamado Meh.

O componente criptografador passa por vários estágios projetados para entregar e ofuscar as etapas iniciais da cadeia de ataque do Malware Meh. Primeiro, ele inicia um dropper que baixa três arquivos adicionais dos servidores de comando e controle por meio de solicitações HTTP POST. Os arquivos são pe.bin, base.au3 e autoit.exe, e todos os três são salvos no diretório C:\testintel2\. O binário Meh principal está contido no binário pe.bin, decriptografado pela terceira etapa das operações do MehCrypter.

Quando totalmente implantado, o Meh Malware oferece aos agentes da ameaça controle quase total sobre o sistema comprometido. Ele pode obter conteúdo da área de transferência, conduzir keylogging, coletar carteiras de criptomoedas, inserir arquivos adicionais em clientes de torrent, implantar e executar um malware de criptomoeda XMRig e muito mais. O Meh Malwaretambém vem com um versátil módulo de Trojan de Acesso Remoto (RAT) que reconhece e executa cerca de 45 comandos diferentes. Quase todas as diferentes funcionalidades do Meh Malware são executadas por subthreads, que são executados por meio de injeções em processos legítimos do Windows.

O segundo segmento é um ladrão de senhas, chamado Meh. O ladrão é o centro da ameaça e carrega muitas funcionalidades. O ladrão é capaz de baixar arquivos adicionais por meio de torrents, coletar conteúdo da área de transferência, keylogging, coletar carteiras de criptomoedas e muito mais. Quase todas as suas funcionalidades são realizadas em subthreads, executados a partir de processos injetados. Os principais tópicos observados no Meh Malware são:

  • Tópico de injeção
  • Thread de instalação e persistência
  • Tópico de verificação anti-AV
  • Fio de criptomineração
  • Tópico de download torrent
  • Tópico de roubo e keylogging da área de transferência
  • Carteiras criptográficas roubando fio
  • Tópico de fraude de publicidade

Como indicam os nomes dos primeiros threads, o Malware Meh executa várias ações, facilitando seu estabelecimento no sistema comprometido. A ameaça cria um mecanismo de persistência e verifica a presença de várias soluções anti-malware.

O núcleo principal da atividade do Malware Meh é coletar e exfiltrar vários dados. Além das funções usuais do infostealer, como keylogging e interceptação de conteúdo da área de transferência, a ameaça também visa carteiras de criptomoedas para Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax e Exodus. E se isso não bastasse, ao receber os parâmetros apropriados, a ameaça também pode conduzir uma fraude publicitária ao forçar cliques em páginas de anúncios arbitrárias.

Os recursos já extensos do Malware Meh são potencializados ainda mais com a presença de um módulo RAT. Por meio dele, os hackers podem manipular o sistema de arquivos, coletar senhas e cookies do navegador, gerenciar a atividade de criptominação e fornecer criptominadores adicionais, usar a linha de comando, etc. Um comando específico vê o módulo RAT excluindo as cópias de sombra criadas pelo Windows sistema, indicando uma ameaça potencial de ransomware sendo incorporada ao Malware Meh em algum momento futuro.

Postagens Relacionadas

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.