META Infostealer

META Infostealer

META Bilgi Hırsızı, siber suçlular arasında ilgi çeken yeni ve tehdit edici bir türdür. Kötü amaçlı yazılım tehdidi, Raccoon Stealer operatörlerinin faaliyetlerini durdurmasından sonra kalan boşluğu doldurmayı amaçlayan zararlı yaratımlar dalgasının bir parçasıdır. Sonuç olarak, birçok bilgisayar korsanı ve bilgisayar korsanı kuruluşu, bir sonraki saldırı platformunu aramaya başladı ve META Infostealer'ın ihtiyaçlarının çoğunu karşılamayı başardığı görülüyor. Şimdiye kadar, kötü amaçlı yazılıma erişim, aylık 125 ABD Doları abonelik veya 1000 ABD Doları tutarında tek bir ömür boyu ödeme karşılığında elde edilebilir.

Tehdit, RedLine'ın daha güçlü ve geliştirilmiş bir versiyonu olarak tanıtılıyor. Chrome, Firefox ve Edge gibi en popüler Web tarayıcılarından bazılarında saklanan oturum açma kimlik bilgileri ve şifreler gibi virüslü cihazlardan hassas bilgileri alabilir. Ayrıca saldırganlar, kurbanın kripto para cüzdanlarını tehlikeye atmak için META Infostealer'dan yararlanabilir.

Saldırı Zinciri

Güvenlik uzmanı ve ISC İşleyicisi Brad Duncan, META Infostealer'ı dağıtmak için tasarlanmış aktif bir kampanyayı ortaya çıkardı. Tehdit aktörleri, zehirli dosya ekleriyle spam e-postaları yaymak için denenmiş ve enfeksiyon vektörünü kullanır. Bu cazibeli e-postalar, fon transferleri veya kullanıcının derhal ilgilenmesi gereken acil görünen diğer olaylar hakkında tamamen uydurma iddialar içerebilir. Sözde sorunla ilgili bilgileri görmek için, kurbanların makro bağlantılı bir Excel elektronik tablosu olan ekteki dosyayı açmaları istenir. Daha meşru görünmek için, dosya bir DocuSign logosu taşır ve kullanıcılara, bozuk bir VBS makrosunun yürütülmesi için gerekli bir adım olan 'içeriği etkinleştirme' talimatı verir.

Komut dosyası başlatıldığında, birden fazla DLL ve yürütülebilir dosyadan oluşan birkaç yükü alacak ve kullanıcının cihazına teslim edecektir. Dosyalar GitHub gibi farklı web sitelerinden alınır. Güvenlik uygulamaları tarafından algılanmamak için, bırakılan dosyalar base64 ile kodlanmış veya baytları tersine çevrilmiş olabilir. Nihai yük, cihazda 'qwveqwveqw.exe' adlı bir dosya olarak oluşturulacaktır. Seçilen ad muhtemelen rastgele oluşturulacaktır. Yeni bir Kayıt Defteri anahtarı enjekte edilecek ve bir kalıcılık mekanizması görevi görecektir. Tehdit, eylemlerinin bir parçası olarak, Windows Defender'ı sistemdeki .exe dosyalarını taramayı durdurmaya zorlamak için PowerShell komutlarını da kullanacak. META Infostealer'ın varlığının açık bir işareti, onun payload .exe dosyası ile operasyon Komuta ve Kontrol sunucusu arasındaki sürekli trafiktir.

Trending

Loading...