12/04/22
Исследователь в области кибербезопасности Брэд Дункан (Brad Duncan) обнаружил вредоносную кампанию по распространению нового инфостилера под названием ПО META. Популярность нового вредоносного ПО для кражи информации растет среди киберпреступников.
META является одним из новых похитителей информации, наряду с Mars Stealer и BlackGuard. Операторы последних решили воспользоваться уходом Raccoon Stealer с рынка, который заставил многих преступников искать себе новую платформу.
Инструмент META продается по цене $125 за ежемесячную подписку или $1 тыс. за неограниченное пожизненное использование и рекламируется как улучшенная версия RedLine.
Новая кампания по распространению спама указывает на то, что META активно используется в атаках для кражи криптовалютных кошельков и паролей, хранящихся в браузерах Google Chrome, Microsoft Edge и Mozilla Firefox.
Мошенники прибегли к «стандартному» подходу, рассылая письма с электронными таблицами Microsoft Excel с макросами. В сообщениях содержатся фальшивые и не очень правдоподобные заявления о переводе средств потенциальной жертвы. Файлы электронных таблиц содержат приманку DocuSign, которая побуждает цель «включить контент», необходимый для запуска вредоносного Макрос VBS в фоновом режиме.
Когда вредоносный скрипт запускается, он загружает различные полезные данные, включая DLL-библиотеки DLL и исполняемые файлы, с нескольких сайтов, включая GitHub. Некоторые из загруженных файлов имеют кодировку base64 с целью избежать обнаружения защитным программным обеспечением.
На компьютерной системе жертвы собирается конечная полезная нагрузка под названием qwveqwveqw.exe, которое, предположительно, является случайным. В целях обеспечения персистентности также добавляется новый раздел реестра.
EXE-файл генерирует трафик на командный сервер даже после перезагрузки системы, перезапуская процесс заражения на устройстве. META изменяет конфигурации Защитника Windows через PowerShell, исключая исполняемые файлы из списка сканирования.
