Meh Malware
Die Meh-Malware ist hauptsächlich ein Passwort-Stealer und ein Keylogger, aber ihre Bedrohungsfähigkeiten gehen weit darüber hinaus und umfassen eine ganze Reihe von Funktionen. Die Malware besteht aus zwei Teilen - einem Kryptor namens MehCrypter und dem eigentlichen Kern der Bedrohung namens Meh.
Die Kryptorkomponente durchläuft mehrere Phasen, um die ersten Schritte der Angriffskette von Meh Malware zu liefern und zu verschleiern. Zunächst wird ein Dropper initiiert, der über HTTP-POST-Anforderungen drei zusätzliche Dateien von den Command-and-Control-Servern herunterlädt. Die Dateien sind pe.bin, base.au3 und autoit.exe, und alle drei werden im Verzeichnis C: \ testintel2 \ gespeichert. Die Haupt-Meh-Binärdatei ist in der pe.bin-Binärdatei enthalten, die durch den dritten Stager-Schritt der MehCrypter-Operationen entschlüsselt wird.
Bei vollständiger Bereitstellung gibt Meh Malware den Bedrohungsakteuren nahezu vollständige Kontrolle über das gefährdete System. Es kann Inhalte aus der Zwischenablage abrufen, Keylogging durchführen, Brieftaschen für Kryptowährungen sammeln, zusätzliche Dateien über Torrent-Clients ablegen, eine XMRig- Cryptomining-Malware bereitstellen und ausführen und vieles mehr. Die Meh-Malware wird außerdem mit einem vielseitigen RAT-Modul (Remote Access Trojan) geliefert, das rund 45 verschiedene Befehle erkennt und ausführt. Fast alle verschiedenen Funktionen von Meh Malware werden von Subthreads ausgeführt, die durch Injektionen in legitime Windows-Prozesse ausgeführt werden.
Das zweite Segment ist ein Passwort-Stealer namens Meh. Der Stealer ist das Zentrum der Bedrohung und verfügt über viele Funktionen. Der Stealer kann zusätzliche Dateien über Torrents herunterladen, Inhalte aus der Zwischenablage sammeln, Keylogging durchführen, Geldbörsen für Kryptowährungen sammeln und vieles mehr. Fast alle Funktionen werden in Subthreads ausgeführt, die aus injizierten Prozessen ausgeführt werden. Die in Meh Malware beobachteten Hauptthreads sind:
- Einspritzgewinde
- Installations- und Persistenz-Thread
- Anti-AV-Check-Thread
- Cryptomining-Thread
- Torrent-Download-Thread
- Zwischenablage stehlen und Keylogging-Thread
- Krypto-Geldbörsen stehlen Faden
- Werbebetrug Thread
Wie aus den Namen der ersten Threads hervorgeht, führt die Meh-Malware mehrere Aktionen aus, um die Einrichtung auf dem gefährdeten System zu erleichtern. Die Bedrohung erstellt einen Persistenzmechanismus und überprüft, ob mehrere Anti-Malware-Lösungen vorhanden sind.
Der Hauptkern der Aktivitäten von Meh Malware besteht darin, verschiedene Daten zu sammeln und zu filtern. Neben den üblichen Infostealer-Funktionen wie Keylogging und Abfangen von Inhalten in der Zwischenablage zielt die Bedrohung auch auf Kryptowährungs-Wallets für Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax und Exodus ab. Und wenn dies nicht ausreicht, kann die Bedrohung durch den Erhalt der entsprechenden Parameter auch einen Werbebetrug durchführen, indem sie das Erzwingen von Klicks auf beliebige Anzeigenseiten einleitet.
Die bereits umfangreichen Funktionen der Meh Malware werden durch das Vorhandensein eines RAT-Moduls weiter verbessert. Dadurch können die Hacker das Dateisystem manipulieren, Browserkennwörter und Cookies sammeln, die Cryptomining-Aktivität verwalten und zusätzliche Cryptominers bereitstellen, die Befehlszeile verwenden usw. Bei einem bestimmten Befehl löscht das RAT-Modul die von Windows erstellten Schattenkopien System, das auf eine potenzielle Ransomware-Bedrohung hinweist, die zu einem späteren Zeitpunkt in die Meh-Malware integriert wird.
