META Infostealer

META Infostealer

O META Infolstealer é um tipo novo e ameaçador que vem ganhando força entre os cibercriminosos. A ameaça de malware faz parte da onda de criações prejudiciais destinadas a preencher o vácuo deixado depois que os operadores do Raccoon Stealer interromperam suas atividades. Como resultado, muitos hackers e organizações de hackers começaram a procurar sua próxima plataforma de ataque, e parece que o META Infostealer conseguiu atender à maioria de suas necessidades. Até agora, o acesso ao malware pode ser obtido por uma assinatura mensal de US$125 ou um único pagamento vitalício de US$1.000.

A ameaça está sendo anunciada como uma versão mais potente e melhorada do RedLine. Ele pode obter informações confidenciais no dispositivos infectados, tais como credenciais de login e senhas armazenadas em alguns dos navegadores da Web mais populares, como Chrom, Firefox e Edge. Além disso, os invasores podem aproveitar o META Infostealer para comprometer as carteiras de criptomoedas da vítima.

A Cadeia de Ataque

O especialista em segurança e manipulador do ISC Brad Duncan descobriu uma campanha ativa projetada para implantar o META Infostealer. Os agentes de ameaças empregam o vetor de infecção testado e comprovado de disseminação de e-mails de spam com anexos de arquivos envenenados. Esses e-mails de atração podem conter reivindicações completamente fabricadas sobre transferências de fundos ou outros eventos aparentemente urgentes que precisam de atenção imediata do usuário. Para ver informações sobre o suposto problema, as vítimas são orientadas a abrir o arquivo anexo, que é uma planilha do Excel com macros. Para parecer mais legítimo, o arquivo carrega um logotipo da DocuSign e instrui os usuários a 'habilitar o conteúdo', uma etapa necessária para a execução de uma macro VBS corrompida.

Quando o script é iniciado, ele busca e entrega ao dispositivo do usuário várias cargas úteis que consistem em várias DLLs e executáveis. Os arquivos são recuperados de diferentes sites, como o GitHub. Para evitar ser detectado por aplicativos de segurança, os arquivos descartados podem ser codificados em base64 ou ter seus bytes revertidos. A carga útil final será criada no dispositivo como um arquivo chamado 'qwveqwveqw.exe.' O nome escolhido provavelmente será gerado aleatoriamente. Uma nova chave do Registro será injetada e atuará como um mecanismo de persistência. Como parte de suas ações, a ameaça também usará comandos do PowerShell para forçar o Windows Defender a parar de verificar os arquivos .exe no sistema. Um sinal claro da presença do META Infostealer é o tráfego contínuo entre seu arquivo .exe de carga útil e o servidor de Comando e Controle de operações.

Tendendo

Mais visto

Carregando...