META Infostealer

META Infolstealer është një lloj i ri, kërcënues që ka fituar tërheqje mes kriminelëve kibernetikë. Kërcënimi i malware është pjesë e valës së krijimeve të dëmshme që synojnë të mbushin vakumin e mbetur pasi operatorët e Raccoon Stealer ndaluan aktivitetet e tyre. Si rezultat, shumë hakerë dhe organizata hakerash filluan të kërkonin përreth platformës së tyre të sulmit të radhës dhe duket se META Infostealer ka arritur të përmbushë shumicën e nevojave të tyre. Deri më tani, aksesi në malware mund të merret për një abonim mujor prej 125 dollarësh ose një pagesë të vetme gjatë gjithë jetës prej 1000 dollarësh.

Kërcënimi po reklamohet si një version më i fuqishëm dhe më i përmirësuar i RedLine . Ai mund të marrë informacione të ndjeshme nga pajisjet e infektuara, të tilla si kredencialet e hyrjes dhe fjalëkalimet e ruajtura në disa nga shfletuesit më të njohur të uebit, si Chrome, Firefox dhe Edge. Përveç kësaj, sulmuesit mund të përdorin META Infostealer për të komprometuar kuletat e kriptomonedhave të viktimës.

Zinxhiri i Sulmit

Eksperti i sigurisë dhe mbajtësi i ISC Brad Duncan zbuloi një fushatë aktive të krijuar për të vendosur META Infostealer. Aktorët e kërcënimit përdorin vektorin e provuar dhe përmes infeksionit të shpërndarjes së emaileve të padëshiruara me bashkëngjitje skedarësh të helmuar. Këto emaile joshëse mund të përmbajnë pretendime krejtësisht të fabrikuara në lidhje me transferimet e fondeve ose ngjarje të tjera në dukje urgjente që kërkojnë vëmendje të menjëhershme nga përdoruesi. Për të parë informacionin në lidhje me problemin e supozuar, viktimat drejtohen të hapin skedarin e bashkangjitur, i cili është një spreadsheet i Excel-it me makro. Për t'u dukur më legjitim, skedari mbart një logo të DocuSign dhe udhëzon përdoruesit të 'aktivizojnë përmbajtjen', një hap i nevojshëm për ekzekutimin e një makro të korruptuar VBS.

Kur të inicohet skripti, ai do të marrë dhe do t'i dorëzojë pajisjes së përdoruesit disa ngarkesa të dobishme që përbëhen nga shumë DLL dhe ekzekutues. Skedarët merren nga uebfaqe të ndryshme, si GitHub. Për të shmangur zbulimin nga aplikacionet e sigurisë, skedarët e hequr mund të jenë të koduar në bazë64 ose të kenë bajt të kthyera. Ngarkesa përfundimtare do të krijohet në pajisje si një skedar me emrin 'qwveqwveqw.exe.' Emri i zgjedhur ka të ngjarë të krijohet në mënyrë të rastësishme. Një çelës i ri i Regjistrit do të injektohet dhe do të veprojë si një mekanizëm i qëndrueshëm. Si pjesë e veprimeve të tij, kërcënimi gjithashtu do të përdorë komandat PowerShell për të detyruar Windows Defender të ndalojë skanimin e skedarëve .exe në sistem. Një shenjë e qartë e pranisë së META Infostealer është trafiku i vazhdueshëm midis skedarit të tij të ngarkesës .exe dhe serverit të operacioneve Command-and-Control.