META Infostealer

META Infostealer

META 信息竊取者是一種新的、具有威脅性的毒株,在網絡犯罪分子中越來越受歡迎。惡意軟件威脅是旨在填補Raccoon Stealer運營商停止活動後留下的真空的有害創作浪潮的一部分。結果,許多黑客和黑客組織開始四處尋找他們的下一個攻擊平台,而 META Infostealer 似乎已經成功地滿足了他們的大部分需求。到目前為止,每月訂閱 125 美元或終身支付 1000 美元即可獲得對惡意軟件的訪問權限。

該威脅被宣傳為更有效和改進的RedLine版本。它可以從受感染的設備中獲取敏感信息,例如存儲在一些最流行的 Web 瀏覽器(例如 Chrome、Firefox 和 Edge)中的登錄憑據和密碼。此外,攻擊者可以利用 META Infostealer 破壞受害者的加密貨幣錢包。

攻擊鏈

安全專家和 ISC 處理程序 Brad Duncan 發現了一項旨在部署 META Infostealer 的活躍活動。威脅行為者使用經過驗證的感染媒介來傳播帶有中毒文件附件的垃圾郵件。這些引誘電子郵件可能包含完全捏造的關於資金轉移或其他需要用戶立即關注的看似緊急事件的聲明。要查看有關假定問題的信息,受害者會被引導打開附件,這是一個帶有宏的 Excel 電子表格。為了顯得更合法,該文件帶有一個 DocuSign 徽標並指示用戶“啟用內容”,這是執行損壞的 VBS 宏所需的步驟。

當腳本啟動時,它將獲取並交付給用戶的設備幾個由多個 DLL 和可執行文件組成的有效負載。這些文件是從不同的網站檢索的,例如 GitHub。為避免被安全應用程序檢測到,刪除的文件可能會進行 base64 編碼或顛倒它們的字節。最終的有效負載將在設備上創建為名為“qwveqwveqw.exe”的文件。選擇的名稱很可能是隨機生成的。將注入一個新的註冊表項並充當持久性機制。作為其行動的一部分,該威脅還將使用 PowerShell 命令強制 Windows Defender 停止掃描系統上的 .exe 文件。 META Infostealer 存在的一個明顯跡像是其有效負載 .exe 文件與操作命令和控制服務器之間的持續流量。

Trending

Most Viewed

Loading...