META Infostealer

META Infolstealer je nov, nevaren sev, ki postaja vse bolj priljubljen med kibernetičnimi kriminalci. Grožnja z zlonamerno programsko opremo je del vala škodljivih stvaritev, katerih cilj je zapolniti vakuum, ki je ostal po tem, ko so operaterji Raccoon Stealer ustavili svoje dejavnosti. Kot rezultat, so številni hekerji in hekerske organizacije začeli iskati svojo naslednjo platformo za napade in zdi se, da je META Infostealer uspel zadovoljiti večino njihovih potreb. Do zdaj je dostop do zlonamerne programske opreme mogoče dobiti za mesečno naročnino v višini 125 $ ali enkratno doživljenjsko plačilo v višini 1000 $.

Grožnja se oglašuje kot močnejša in izboljšana različica RedLine . Iz okuženih naprav lahko pridobi občutljive podatke, kot so poverilnice za prijavo in gesla, shranjena v nekaterih najbolj priljubljenih spletnih brskalnikih, kot so Chrome, Firefox in Edge. Poleg tega lahko napadalci izkoristijo META Infostealer za ogrožanje denarnic za kriptovalute žrtve.

Napadna veriga

Strokovnjak za varnost in vodja ISC Brad Duncan je odkril aktivno kampanjo, zasnovano za uvedbo META Infostealerja. Akterji grožnje uporabljajo preizkušen vektor okužbe za razširjanje neželene e-pošte z zastrupljenimi datotečnimi prilogami. Ta vabljiva e-poštna sporočila lahko vsebujejo popolnoma izmišljene trditve o prenosih sredstev ali drugih navidez nujnih dogodkih, ki zahtevajo takojšnjo pozornost uporabnika. Če si želite ogledati informacije o domnevni težavi, so žrtve napotene, naj odprejo priloženo datoteko, ki je Excelova preglednica z makro vezmi. Da bi bila videti bolj legitimna, ima datoteka logotip DocuSign in uporabnikom naroči, naj "omogočijo vsebino", kar je potreben korak za izvedbo poškodovanega makra VBS.

Ko se skript zažene, bo pridobil in v uporabniško napravo dostavil več koristnih bremen, sestavljenih iz več DLL in izvedljivih datotek. Datoteke so pridobljene z različnih spletnih mest, kot je GitHub. Da bi preprečili, da bi jih varnostne aplikacije zaznale, so izpuščene datoteke lahko kodirane base64 ali pa so njihovi bajti obrnjeni. Končna koristna obremenitev bo v napravi ustvarjena kot datoteka z imenom 'qwveqwveqw.exe.' Izbrano ime bo verjetno ustvarjeno naključno. Nov registrski ključ bo vbrizgan in bo deloval kot obstojni mehanizem. Kot del svojih dejanj bo grožnja uporabila tudi ukaze PowerShell, da bi prisilila Windows Defender, da preneha skenirati datoteke .exe v sistemu. Jasen znak prisotnosti META Infostealer je neprekinjen promet med njegovo koristno datoteko .exe in operacijskim strežnikom Command-and-Control.