META Infostealer

META Infostealer

META Infolstealer är en ny, hotfull stam som har fått fäste bland cyberkriminella. Hotet med skadlig programvara är en del av vågen av skadliga skapelser som syftar till att fylla tomrummet efter att operatörerna av Raccoon Stealer stoppat sina aktiviteter. Som ett resultat började många hackare och hackerorganisationer se sig om efter sin nästa attackplattform, och det verkar som om META Infostealer har lyckats tillgodose de flesta av deras behov. Hittills kan åtkomst till skadlig programvara erhållas för en månatlig prenumeration på $125 eller en enda livstidsbetalning på $1000.

Hotet annonseras som en mer potent och förbättrad version av RedLine. Den kan hämta känslig information från infekterade enheter, såsom inloggningsuppgifter och lösenord lagrade i några av de mest populära webbläsarna, som Chrome, Firefox och Edge. Dessutom kan angriparna utnyttja META Infostealer för att äventyra offrets kryptovaluta plånböcker.

Attackkedjan

Säkerhetsexperten och ISC-hanteraren Brad Duncan avslöjade en aktiv kampanj utformad för att distribuera META Infostealer. Hotaktörerna använder den beprövade infektionsvektorn för att sprida spam-e-postmeddelanden med förgiftade filbilagor. Dessa lockelsemail kan innehålla helt påhittade påståenden om överföringar av pengar eller andra till synes brådskande händelser som kräver omedelbar uppmärksamhet från användaren. För att se information om det påstådda problemet, uppmanas offren att öppna den bifogade filen, som är ett Excel-kalkylblad med makrospetsar. För att verka mer legitim har filen en DocuSign-logotyp och instruerar användarna att "aktivera innehåll", ett nödvändigt steg för att köra ett skadat VBS-makro.

När skriptet initieras kommer det att hämta och leverera till användarens enhet flera nyttolaster som består av flera DLL:er och körbara filer. Filerna hämtas från olika webbplatser, till exempel GitHub. För att undvika att upptäckas av säkerhetsapplikationer kan de släppta filerna vara base64-kodade eller ha sina bytes omvända. Den slutliga nyttolasten kommer att skapas på enheten som en fil med namnet 'qwveqwveqw.exe.' Det valda namnet kommer sannolikt att genereras slumpmässigt. En ny registernyckel kommer att injiceras och fungera som en beständighetsmekanism. Som en del av sina åtgärder kommer hotet också att använda PowerShell-kommandon för att tvinga Windows Defender att sluta skanna .exe-filerna på systemet. Ett tydligt tecken på närvaron av META Infostealer är den kontinuerliga trafiken mellan dess nyttolast .exe-fil och operations Command-and-Control-servern.

Trending

Loading...