META Infostealer

META Infostealer

META 信息窃取者是一种新的、具有威胁性的毒株,在网络犯罪分子中越来越受到关注。恶意软件威胁是旨在填补Raccoon Stealer运营商停止活动后留下的真空的有害创作浪潮的一部分。结果,许多黑客和黑客组织开始四处寻找他们的下一个攻击平台,而 META Infostealer 似乎已经成功地满足了他们的大部分需求。到目前为止,每月订阅 125 美元或终身支付 1000 美元即可获得对恶意软件的访问权限。

该威胁被宣传为更有效和改进的RedLine版本。它可以从受感染的设备中获取敏感信息,例如存储在一些最流行的 Web 浏览器(例如 Chrome、Firefox 和 Edge)中的登录凭据和密码。此外,攻击者可以利用 META Infostealer 破坏受害者的加密货币钱包。

攻击链

安全专家和 ISC 处理程序 Brad Duncan 发现了一项旨在部署 META Infostealer 的活跃活动。威胁行为者使用经过验证的感染媒介来传播带有中毒文件附件的垃圾邮件。这些引诱电子邮件可能包含完全捏造的关于资金转移或其他需要用户立即关注的看似紧急事件的声明。要查看有关假定问题的信息,受害者会被引导打开附件,这是一个带有宏的 Excel 电子表格。为了显得更合法,该文件带有一个 DocuSign 徽标并指示用户“启用内容”,这是执行损坏的 VBS 宏所需的步骤。

当脚本启动时,它将获取并交付给用户的设备几个由多个 DLL 和可执行文件组成的有效负载。这些文件是从不同的网站检索的,例如 GitHub。为避免被安全应用程序检测到,删除的文件可能会进行 base64 编码或颠倒它们的字节。最终的有效负载将在设备上创建为名为“qwveqwveqw.exe”的文件。选择的名称很可能是随机生成的。将注入一个新的注册表项并充当持久性机制。作为其行动的一部分,该威胁还将使用 PowerShell 命令强制 Windows Defender 停止扫描系统上的 .exe 文件。 META Infostealer 存在的一个明显迹象是其有效负载 .exe 文件与操作命令和控制服务器之间的持续流量。

趋势

最受关注

正在加载...