META Infostealer

META Infolstealerは、サイバー犯罪者の間で注目を集めている新しい脅威的な株です。マルウェアの脅威は、 RaccoonStealerのオペレーターが活動を停止した後に残された空白を埋めることを目的とした有害な創造物の波の一部です。その結果、多くのハッカーやハッカー組織が次の攻撃プラットフォームを探し始め、METAInfostealerは彼らのニーズのほとんどを満たすことができたようです。これまでのところ、マルウェアへのアクセスは、月額$125のサブスクリプションまたは$1000の1回の生涯支払いで取得できます。

この脅威は、 RedLineのより強力で改善されたバージョンとして宣伝されています。 Chrome、Firefox、Edgeなどの最も一般的なWebブラウザに保存されているログインクレデンシャルやパスワードなど、感染したデバイスから機密情報を取得できます。さらに、攻撃者はMETA Infostealerを利用して、被害者の暗号通貨ウォレットを危険にさらす可能性があります。

アタックチェーン

セキュリティの専門家でISCハンドラーのBradDuncanは、METAInfostealerを展開するために設計されたアクティブなキャンペーンを発見しました。攻撃者は、汚染されたファイルが添付されたスパムメールを広めるという、試行錯誤された感染ベクトルを採用しています。これらのルアーメールには、資金移動や、ユーザーからの即時の注意が必要なその他の一見緊急のイベントに関する完全に偽造されたクレームが含まれている可能性があります。想定される問題に関する情報を確認するために、被害者は添付ファイルを開くように指示されます。これは、マクロレースのExcelスプレッドシートです。より正当に見えるように、ファイルにはDocuSignロゴが付いており、破損したVBSマクロの実行に必要な手順である「コンテンツを有効にする」ようにユーザーに指示します。

スクリプトが開始されると、スクリプトは複数のDLLと実行可能ファイルで構成されるいくつかのペイロードをフェッチしてユーザーのデバイスに配信します。ファイルは、GitHubなどのさまざまなWebサイトから取得されます。セキュリティアプリケーションによる検出を回避するために、ドロップされたファイルはbase64でエンコードされているか、バイトが逆になっている場合があります。最終的なペイロードは、「qwveqwveqw.exe」という名前のファイルとしてデバイス上に作成されます。選択された名前はランダムに生成される可能性があります。新しいレジストリキーが挿入され、永続化メカニズムとして機能します。そのアクションの一部として、脅威はPowerShellコマンドを使用して、WindowsDefenderにシステム上の.exeファイルのスキャンを停止させます。 META Infostealerの存在の明確な兆候は、そのペイロード.exeファイルと操作コマンドアンドコントロールサーバー間の継続的なトラフィックです。