Мета інфокрада

Мета інфокрада

META Infolstealer – це новий, загрозливий штам, який набирає популярності серед кіберзлочинців. Загроза зловмисного програмного забезпечення є частиною хвилі шкідливих творінь, спрямованих на заповнення вакууму, що залишився після припинення діяльності операторів Raccoon Stealer . В результаті багато хакерів і хакерських організацій почали шукати свою наступну платформу для атаки, і схоже, що META Infostealer зумів задовольнити більшість їхніх потреб. Поки що доступ до зловмисного програмного забезпечення можна отримати за місячну підписку вартістю 125 доларів США або одноразовий платіж у розмірі 1000 доларів США.

Загроза рекламується як більш потужна та покращена версія RedLine . Він може отримувати конфіденційну інформацію із заражених пристроїв, наприклад облікові дані для входу та паролі, що зберігаються в деяких із найпопулярніших веб-браузерів, таких як Chrome, Firefox та Edge. Крім того, зловмисники можуть використовувати META Infostealer, щоб скомпрометувати гаманці криптовалюти жертви.

Ланцюг атаки

Експерт із безпеки та менеджер ISC Бред Дункан розкрив активну кампанію, розроблену для розгортання META Infostealer. Зловмисники використовують випробуваний і через зараження вектор розповсюдження спаму з вкладеними файлами. Ці листи з приманкою можуть містити повністю сфабриковані заяви про переказ коштів або інші, здавалося б, термінові події, які потребують негайної уваги з боку користувача. Щоб переглянути інформацію про передбачувану проблему, жертвам пропонується відкрити вкладений файл, який є електронною таблицею Excel з макросами. Щоб виглядати більш законно, файл містить логотип DocuSign і інструктує користувачів «увімкнути вміст», необхідний крок для виконання пошкодженого макросу VBS.

Коли сценарій ініціюється, він отримає та доставить на пристрій користувача кілька корисних даних, що складаються з кількох DLL та виконуваних файлів. Файли витягуються з різних веб-сайтів, таких як GitHub. Щоб уникнути виявлення програмами безпеки, видалені файли можуть бути закодовані base64 або їх байти змінено. Остаточне корисне навантаження буде створено на пристрої у вигляді файлу з іменем "qwveqwveqw.exe". Вибране ім’я, ймовірно, буде згенеровано випадковим чином. Буде введений новий ключ реєстру, який діятиме як механізм збереження. У рамках своїх дій загроза також використовуватиме команди PowerShell, щоб змусити Windows Defender припинити сканування файлів .exe у системі. Явною ознакою наявності META Infostealer є безперервний трафік між його файлом корисного навантаження .exe і операційним сервером командування та керування.

Loading...