META Infostealer

META Infostealer

Der META Infostealer ist eine neue, bedrohliche Sorte, die unter Cyberkriminellen an Bedeutung gewinnt. Die Malware-Bedrohung ist Teil der Welle schädlicher Kreationen, die darauf abzielen, das Vakuum zu füllen, das hinterlassen wurde, nachdem die Betreiber von Raccoon Stealer ihre Aktivitäten eingestellt hatten. Infolgedessen begannen viele Hacker und Hacker-Organisationen, sich nach ihrer nächsten Angriffsplattform umzusehen, und es scheint, dass META Infostealer es geschafft hat, die meisten ihrer Bedürfnisse zu erfüllen. Bisher kann der Zugriff auf die Malware für ein monatliches Abonnement von 125 US-Dollar oder eine einmalige lebenslange Zahlung von 1000 US-Dollar erworben werden.

Die Bedrohung wird als stärkere und verbesserte Version von RedLine beworben. Es kann vertrauliche Informationen von infizierten Geräten abrufen, z. B. Anmeldeinformationen und Kennwörter, die in einigen der beliebtesten Webbrowser wie Chrome, Firefox und Edge gespeichert sind. Darüber hinaus können die Angreifer den META Infostealer nutzen, um die Kryptowährungs-Wallets des Opfers zu kompromittieren.

Die Angriffskette

Der Sicherheitsexperte und ISC-Handler Brad Duncan deckte eine aktive Kampagne auf, die darauf abzielte, den META Infostealer einzusetzen. Die Angreifer nutzen den bewährten Infektionsweg der Verbreitung von Spam-E-Mails mit vergifteten Dateianhängen. Diese Köder-E-Mails können vollständig erfundene Behauptungen über Geldtransfers oder andere scheinbar dringende Ereignisse enthalten, die eine sofortige Aufmerksamkeit des Benutzers erfordern. Um Informationen über das angebliche Problem zu sehen, werden die Opfer angewiesen, die angehängte Datei zu öffnen, bei der es sich um eine Excel-Tabelle mit Makros handelt. Um legitimer zu erscheinen, trägt die Datei ein DocuSign-Logo und weist Benutzer an, „Inhalte zu aktivieren“, ein notwendiger Schritt für die Ausführung eines beschädigten VBS-Makros.

Wenn das Skript initiiert wird, ruft es mehrere Payloads ab, die aus mehreren DLLs und ausführbaren Dateien bestehen, und sendet sie an das Gerät des Benutzers. Die Dateien werden von verschiedenen Websites wie GitHub abgerufen. Um zu vermeiden, dass sie von Sicherheitsanwendungen erkannt werden, können die gelöschten Dateien base64-codiert sein oder ihre Bytes umgekehrt haben. Die endgültige Nutzlast wird auf dem Gerät als Datei mit dem Namen „qwveqwveqw.exe“ erstellt. Der gewählte Name wird wahrscheinlich zufällig generiert. Ein neuer Registrierungsschlüssel wird eingefügt und fungiert als Persistenzmechanismus. Als Teil ihrer Aktionen verwendet die Bedrohung auch PowerShell-Befehle, um Windows Defender zu zwingen, das Scannen der .exe-Dateien auf dem System zu beenden. Ein klares Zeichen für die Anwesenheit des META Infostealers ist der kontinuierliche Datenverkehr zwischen seiner .exe-Datei und dem Command-and-Control-Server des Betriebs.

Im Trend

Wird geladen...