Μια νέα malspam καμπάνια διανέμει ένα νέο info-stealer malware με το όνομα META. Το τελευταίο διάστημα, εμφανίζονται όλο και περισσότερα malware αυτού τους είδους. Οι χειριστές του META, όπως και των Mars Stealer και BlackGuard, φαίνεται πως προσπαθούν να επωφεληθούν από την έξοδο του Raccoon Stealer από την αγορά.
Το Bleeping Computer ανέφερε για πρώτη φορά το META τον περασμένο μήνα, όταν οι αναλυτές της KELA προειδοποίησαν για τη δυναμική είσοδό του στο TwoEasy botnet marketplace.
Δείτε επίσης: Το malware Mirai παραδίδεται πλέον με χρήση των Spring4Shell exploits
Το META malware πωλείται στα 125 $ για μηνιαία χρήση. Εναλλακτικά, οι κακόβουλοι χρήστες μπορούν να πληρώσουν 1.000 $ για να μπορούν να το χρησιμοποιούν για πάντα. Το info-stealer προωθείται ως βελτιωμένη έκδοση του RedLine.
Νέα εκστρατεία διανέμει το META malware
Ερευνητής ασφαλείας ανακάλυψε μια νέα καμπάνια spam που δείχνει ότι το malware χρησιμοποιείται ενεργά σε επιθέσεις και στοχεύει στην κλοπή κωδικών πρόσβασης που είναι αποθηκευμένοι στο Chrome, το Edge και τον Firefox, καθώς και στην κλοπή cryptocurrency wallets.
Σύμφωνα με τα στοιχεία, το malware διανέμεται μέσω ενός κακόβουλου αρχείου excel που φτάνει στα θύματα, συνημμένο σε ένα email. Τα emails αναφέρονται σε υποτιθέμενες μεταφορές κεφαλαίων. Στην πραγματικότητα, τα μηνύματα δεν είναι πολύ προσεγμένα, καλοφτιαγμένα και πειστικά αλλά ένα σημαντικό ποσοστό χρηστών θα μπορούσε να πέσει στην παγίδα.
Τα κακόβουλα συνημμένα ζητούν από το χρήστη να “ενεργοποιήσει το περιεχόμενο“. Αν ο χρήστης το κάνει, θα ξεκινήσει η εκτέλεση της κακόβουλης μακροεντολής VBS στο παρασκήνιο.
Χρήσιμη πληροφορία: Ποια είναι τα καλύτερα antivirus λογισμικά για το 2022;
Κατά την εκτέλεση του κακόβουλου script, πραγματοποιείται λήψη διαφόρων payloads, συμπεριλαμβανομένων DLL και εκτελέσιμων αρχείων, από πολλά sites όπως το GitHub.
Ορισμένα από τα ληφθέντα αρχεία είναι κωδικοποιημένα με το base64 format ή έχουν κάνει τα bytes reversed για να παρακάμψουν την ανίχνευση από λογισμικό ασφαλείας.
Το τελικό payload δημιουργείται στο μηχάνημα με το όνομα “qwveqwveqw.exe“, το οποίο είναι πιθανόν τυχαίο και προστίθεται κι ένα νέο registry key για persistence.
Ένα σαφές σημάδι της μόλυνσης είναι το αρχείο EXE που δημιουργεί traffic σε έναν command and control server στο 193.106.191[.]162, ακόμα και μετά την επανεκκίνηση του συστήματος, επανεκκινώντας τη διαδικασία μόλυνσης στο μηχάνημα που έχει παραβιαστεί.
Ένα στοιχείο που κάνει το Meta malware ιδιαίτερα επικίνδυνο είναι ότι μπορεί να επηρεάσει το Windows Defender μέσω PowerShell ώστε να αποκλείσει τα αρχεία .exe από τη σάρωση. Έτσι, μπορεί να αποφεύγει τον εντοπισμό.
Δείτε επίσης: FFDroider malware: Κλέβει credentials και cookies και παραβιάζει social media accounts
Περισσότερες λεπτομέρειες μπορείτε να δείτε εδώ.
Info-stealing malware
Τα info-stealer malware κλέβουν προσωπικά και άλλα δεδομένα τα οποία μπορούν να χρησιμοποιηθούν για περαιτέρω κακόβουλες δραστηριότητες ή για την απόκτηση εσόδων μέσω της πώλησής τους σε άλλους εγκληματίες.
Όπως είπαμε και παραπάνω, ένα από τα πιο πρόσφατα malware αυτής της κατηγορίας είναι και το BlackGuard, που έχει ήδη κερδίσει την προσοχή των κυβερνοεγκληματιών. Το malware μπορεί να κλέψει δεδομένα από ένα ευρύ φάσμα εφαρμογών. Μπορεί να κλέψει όλους τους τύπους πληροφοριών που σχετίζονται με Crypto wallets, VPN, Messengers, FTP credentials, αποθηκευμένα browser credentials και άλλα. Ωστόσο, φαίνεται να εστιάζει κυρίως στα cryptocurrency assets.
Πηγή: www.bleepingcomputer.com