META Infostealer

META Infolstealer este o tulpină nouă, amenințătoare, care a câștigat acțiune în rândul infractorilor cibernetici. Amenințarea malware face parte din valul de creații dăunătoare menite să umple vidul rămas după ce operatorii Raccoon Stealer și-au oprit activitățile. Drept urmare, mulți hackeri și organizații de hackeri au început să caute în jur următoarea lor platformă de atac și se pare că META Infostealer a reușit să le satisfacă majoritatea nevoilor. Până acum, accesul la malware poate fi obținut pentru un abonament lunar de 125 USD sau o singură plată pe viață de 1000 USD.

Amenințarea este promovată ca o versiune mai puternică și mai îmbunătățită a RedLine . Poate obține informații sensibile de la dispozitivele infectate, cum ar fi acreditările de conectare și parolele stocate în unele dintre cele mai populare browsere web, cum ar fi Chrome, Firefox și Edge. În plus, atacatorii pot folosi META Infostealer pentru a compromite portofelele cu criptomonede ale victimei.

Lanțul de atac

Expertul în securitate și responsabilul ISC Brad Duncan a dezvăluit o campanie activă concepută pentru a implementa META Infostealer. Actorii amenințărilor folosesc vectorul de infecție încercat și prin diseminarea e-mailurilor de tip spam cu atașamente de fișiere otrăvite. Aceste e-mailuri de atracție ar putea conține afirmații complet fabricate despre transferuri de fonduri sau alte evenimente aparent urgente care necesită atenție imediată din partea utilizatorului. Pentru a vedea informații despre presupusa problemă, victimele sunt direcționate să deschidă fișierul atașat, care este o foaie de calcul Excel cu macro-încărcări. Pentru a părea mai legitim, fișierul poartă o siglă DocuSign și instruiește utilizatorii să „activeze conținutul”, un pas necesar pentru executarea unei macrocomenzi VBS corupte.

Când scriptul este inițiat, acesta va prelua și va livra pe dispozitivul utilizatorului mai multe încărcări utile constând din mai multe DLL-uri și executabile. Fișierele sunt preluate de pe diferite site-uri web, cum ar fi GitHub. Pentru a evita detectarea de către aplicațiile de securitate, fișierele abandonate pot fi codificate în baza 64 sau pot avea octeții inversați. Sarcina utilă finală va fi creată pe dispozitiv ca fișier numit „qwveqwveqw.exe”. Numele ales este probabil să fie generat la întâmplare. O nouă cheie de registry va fi injectată și va acționa ca un mecanism de persistență. Ca parte a acțiunilor sale, amenințarea va folosi și comenzile PowerShell pentru a forța Windows Defender să nu mai scaneze fișierele .exe din sistem. Un semn clar al prezenței META Infostealer este traficul continuu dintre fișierul său .exe de încărcare utilă și serverul de operațiuni Command-and-Control.