МЕТА Инфостилер

META Infolstealer — это новый опасный штамм, который набирает популярность среди киберпреступников. Угроза вредоносного ПО является частью волны вредоносных творений, направленных на заполнение вакуума, образовавшегося после прекращения деятельности операторов Raccoon Stealer . В результате многие хакеры и хакерские организации начали искать свою следующую платформу для атак, и кажется, что META Infostealer удалось удовлетворить большую часть их потребностей. Пока что доступ к зловреду можно получить за ежемесячную подписку в размере 125 долларов США или разовый пожизненный платеж в размере 1000 долларов США.

Угроза рекламируется как более мощная и улучшенная версия RedLine . Он может получать конфиденциальную информацию с зараженных устройств, такую как учетные данные для входа и пароли, хранящиеся в некоторых из самых популярных веб-браузеров, таких как Chrome, Firefox и Edge. Кроме того, злоумышленники могут использовать META Infostealer для компрометации криптовалютных кошельков жертвы.

Цепочка атак

Эксперт по безопасности и куратор ISC Брэд Дункан обнаружил активную кампанию, направленную на развертывание META Infostealer. Субъекты угрозы используют испытанный и сквозной вектор распространения спама с зараженными вложенными файлами. Эти электронные письма-приманки могут содержать полностью сфабрикованные заявления о денежных переводах или других, казалось бы, срочных событиях, требующих немедленного внимания пользователя. Чтобы просмотреть информацию о предполагаемой проблеме, жертвам предлагается открыть прикрепленный файл, который представляет собой электронную таблицу Excel с добавлением макросов. Чтобы выглядеть более законным, файл снабжен логотипом DocuSign и инструктирует пользователей «включить содержимое», что необходимо для выполнения поврежденного макроса VBS.

Когда скрипт запускается, он извлекает и доставляет на устройство пользователя несколько полезных нагрузок, состоящих из нескольких библиотек DLL и исполняемых файлов. Файлы извлекаются с разных веб-сайтов, таких как GitHub. Чтобы избежать обнаружения приложениями безопасности, отброшенные файлы могут быть закодированы в base64 или их байты могут быть перевернуты. Окончательная полезная нагрузка будет создана на устройстве в виде файла с именем «qwveqwveqw.exe». Выбранное имя, вероятно, будет сгенерировано случайным образом. Будет введен новый ключ реестра, который будет действовать как механизм сохранения. В рамках своих действий угроза также будет использовать команды PowerShell, чтобы заставить Защитника Windows прекратить сканирование файлов .exe в системе. Явным признаком присутствия META Infostealer является непрерывный обмен данными между его файлом полезной нагрузки .exe и сервером управления операциями.