META ผู้ขโมยข้อมูล

META ผู้ขโมยข้อมูล

META Infolstealer เป็นสายพันธุ์ใหม่ที่คุกคามซึ่งได้รับแรงฉุดลากจากอาชญากรไซเบอร์ ภัยคุกคามจากมัลแวร์เป็นส่วนหนึ่งของคลื่นของการสร้างสรรค์ที่เป็นอันตรายซึ่งมุ่งเป้าไปที่การเติมสูญญากาศที่เหลือหลังจากที่ผู้ดำเนินการ Raccoon Stealer หยุดกิจกรรมของพวกเขา ด้วยเหตุนี้ แฮ็กเกอร์และองค์กรแฮ็กเกอร์จำนวนมากจึงเริ่มมองหาแพลตฟอร์มการโจมตีครั้งต่อไป และดูเหมือนว่า META Infostealer จะสามารถตอบสนองความต้องการส่วนใหญ่ของพวกเขาได้ จนถึงตอนนี้ สามารถเข้าถึงมัลแวร์ได้ด้วยการสมัครสมาชิกรายเดือน 125 ดอลลาร์ หรือจ่ายครั้งเดียวตลอดชีพ 1,000 ดอลลาร์

ภัยคุกคามนี้กำลังได้รับการโฆษณาว่าเป็น RedLine เวอร์ชันที่มีศักยภาพและได้รับการปรับปรุงมากขึ้น สามารถรับข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัส เช่น ข้อมูลรับรองการเข้าสู่ระบบและรหัสผ่านที่จัดเก็บไว้ในเว็บเบราว์เซอร์ยอดนิยมบางตัว เช่น Chrome, Firefox และ Edge นอกจากนี้ ผู้โจมตียังสามารถใช้ประโยชน์จาก META Infostealer เพื่อประนีประนอมกระเป๋าเงินดิจิตอลของเหยื่อ

ห่วงโซ่การโจมตี

แบรด ดันแคน ผู้เชี่ยวชาญด้านความปลอดภัยและตัวจัดการ ISC เปิดเผยแคมเปญที่ใช้งานอยู่ซึ่งออกแบบมาเพื่อปรับใช้ META Infostealer ผู้คุกคามใช้เวกเตอร์พยายามและผ่านการแพร่ระบาดในการแพร่กระจายอีเมลขยะพร้อมไฟล์แนบที่เป็นพิษ อีเมลหลอกลวงเหล่านี้อาจมีการอ้างสิทธิ์ที่ประดิษฐ์ขึ้นโดยสมบูรณ์เกี่ยวกับการโอนเงินหรือเหตุการณ์เร่งด่วนอื่นๆ ที่ต้องให้ความสนใจทันทีจากผู้ใช้ หากต้องการดูข้อมูลเกี่ยวกับปัญหาที่คาดคะเน ผู้ที่ตกเป็นเหยื่อจะได้รับคำแนะนำให้เปิดไฟล์ที่แนบมาซึ่งเป็นสเปรดชีต Excel ที่เจือด้วยมาโคร เพื่อให้ดูเหมือนถูกต้องตามกฎหมายมากขึ้น ไฟล์จะมีโลโก้ DocuSign และแนะนำให้ผู้ใช้ 'เปิดใช้งานเนื้อหา' ซึ่งเป็นขั้นตอนที่จำเป็นสำหรับการดำเนินการแมโคร VBS ที่เสียหาย

เมื่อสคริปต์เริ่มต้น สคริปต์จะดึงข้อมูลและส่งข้อมูลหลายรายการไปยังอุปกรณ์ของผู้ใช้ ซึ่งประกอบด้วย DLL และไฟล์เรียกทำงานหลายรายการ ไฟล์ถูกดึงมาจากเว็บไซต์ต่างๆ เช่น GitHub เพื่อหลีกเลี่ยงไม่ให้ถูกตรวจพบโดยแอปพลิเคชันความปลอดภัย ไฟล์ที่หลุดอาจถูกเข้ารหัส base64 หรือมีการย้อนกลับของไบต์ เพย์โหลดสุดท้ายจะถูกสร้างขึ้นบนอุปกรณ์เป็นไฟล์ชื่อ 'qwveqwveqw.exe' ชื่อที่เลือกมีแนวโน้มที่จะสร้างขึ้นโดยการสุ่ม คีย์รีจิสทรีใหม่จะถูกฉีดเข้าไปและทำหน้าที่เป็นกลไกการคงอยู่ ส่วนหนึ่งของการดำเนินการ ภัยคุกคามจะใช้คำสั่ง PowerShell เพื่อบังคับให้ Windows Defender หยุดการสแกนไฟล์ .exe ในระบบ สัญญาณที่ชัดเจนของการมีอยู่ของ META Infostealer คือการรับส่งข้อมูลอย่างต่อเนื่องระหว่างไฟล์ payload .exe และเซิร์ฟเวอร์ Command-and-Control ของการดำเนินการ

Loading...