Der er en ny informationstyver på vej frem, og sikkerhedsforskere siger, at det i øjeblikket bliver distribueret i malspam-kampagner. Med andre ord, den såkaldte META infostealer leveres via ondsindet spam i e-mail-beskeder (vedhæftede filer). Siden den berygtede Raccoon infostealer er ikke længere en spiller, andre infotyvere kæmper for at tage dens plads.
META Infostealer: Hvad der er kendt So Far?
Cybersikkerhedsforskere rapporterer, at det ondsindede værktøj bliver tilbudt $125 en måned, eller $1,000 til ubegrænset levetidsbrug. Det promoveres som en forbedret version af RedLine, en info- stjæle malware-familie, der dukkede op midt i Covid-19-pandemien.
Den nye malspam-kampagne er blevet opdaget af sikkerhedsforsker Brad Duncan, hvem siger, at det bliver brugt aktivt i angreb til at stjæle adgangskoder gemt i Chrome, Edge, og Firefox-browsere. META infostealer er også interesseret i at høste adgangskoder til cryptocurrency tegnebøger.
Da ondsindet spam normalt er afhængig af ondsindede makroer i dokumenter, denne er heller ikke en undtagelse. Malwaren bruger makrofyldte Excel-dokumenter, der sendes som vedhæftede filer i e-mails. Også selvom den aktuelle kampagne ikke er usædvanlig klog eller skrevet på en overbevisende måde, det kan stadig være effektivt, da mange brugere har en tendens til at gå glip af de røde flag og regelmæssigt åbner mistænkelige vedhæftede filer.
For at virke mere overbevisende, den ondsindede Excel-fil bruger et DocuSign lokkemiddel til at skubbe det potentielle offer til at aktivere indhold, der kræves for at køre den ondsindede makro. Når scriptet er startet, den downloader forskellige nyttelaster, såsom DDL'er og eksekverbare filer, fra flere retninger. Nogle af de downloadede filer er kodet med base64 eller har deres bytes omvendt. Dette gøres for at undgå opdagelse af sikkerhedsleverandører.
Den endelige nyttelast bruger qwveqwveqw.exe som et navn, men forskere bemærker, at navnet kan genereres tilfældigt. En ny indskrive nøglen er også tilføjet for persistens. En anden mulighed for META inforstealer er at ændre Window Defender ved hjælp af PowerShell for at udelukke .exe-filer fra scanning. Dette gøres også for at beskytte mod opdagelse.
Anden Infostealer på løs, for
CryptBot er en anden nylig inforstealer distribueret ved hjælp af piratkopierede softwarewebsteder, der tilbyder gratis downloads til crackede spil og pro-grade software.
Cryptbot er blevet beskrevet som "en typisk infotyver, i stand til at opnå legitimationsoplysninger til browsere, kryptovaluta tegnebøger, browser cookies, kreditkort, og laver skærmbilleder af det inficerede system." Stjålne detaljer samles i zip-filer og uploades til kommando-og-kontrol-serveren.
Vi råder vores læsere til at være ekstra på vagt, når de downloader software fra nettet, eller åbne uanede e-mail-beskeder. Som det ses i ovenstående eksempler, disse er populære distributionskanaler for trojanske heste og infostealere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: