Es gibt einen neuen Informationsdieb auf dem Vormarsch, und Sicherheitsforscher sagen, dass es derzeit in Malspam-Kampagnen verbreitet wird. Mit anderen Worten, der sogenannte META-Infostealer wird über böswilligen Spam in E-Mail-Nachrichten zugestellt (Zubehör). Da die berüchtigten Waschbär infostealer ist kein Spieler mehr, Andere Infostealer kämpfen darum, seinen Platz einzunehmen.
META Infostealer: Was ist bis jetzt bekannt?
Cybersicherheitsforscher berichten, dass das bösartige Tool für angeboten wird $125 ein Monat, oder $1,000 für unbegrenzte lebenslange Nutzung. Es wird als verbesserte Version von RedLine beworben, eine Info- stehlende Malware-Familie, die inmitten der Covid-19-Pandemie auftauchte.
Die neue Malspam-Kampagne wurde vom Sicherheitsforscher Brad Duncan entdeckt, wer sagt, dass es aktiv bei Angriffen verwendet wird, um in Chrome gespeicherte Passwörter zu stehlen, Rand, und Firefox-Browser. Der META-Infostealer ist auch daran interessiert, Passwörter für Kryptowährungs-Wallets zu sammeln.
Da bösartiger Spam normalerweise auf bösartige Makros in Dokumenten angewiesen ist, auch dieser ist keine Ausnahme. Die Malware verwendet Excel-Dokumente mit Makros, die als E-Mail-Anhänge gesendet werden. Auch wenn die aktuelle Kampagne nicht besonders schlau oder überzeugend geschrieben ist, es kann immer noch effizient sein, da viele Benutzer die Warnsignale übersehen und regelmäßig verdächtige Anhänge öffnen.
Um überzeugender zu wirken, Die bösartige Excel-Datei verwendet einen DocuSign-Köder, um das potenzielle Opfer dazu zu bringen, Inhalte zu aktivieren, die zum Ausführen des bösartigen Makros erforderlich sind. Sobald das Skript gestartet wird, Es lädt verschiedene Payloads herunter, wie DDLs und ausführbare Dateien, aus mehreren Richtungen. Einige der heruntergeladenen Dateien sind mit base64 kodiert oder ihre Bytes sind vertauscht. Dies geschieht, um der Erkennung durch Sicherheitsanbieter zu entgehen.
Die endgültige Nutzlast verwendet qwveqwveqw.exe als name, Forscher stellen jedoch fest, dass der Name zufällig generiert werden könnte. Ein neuer Registrierungsschlüssel wird auch für Persistenz hinzugefügt. Eine weitere Funktion von META inforstealer ist das Modifizieren von Window Defender mithilfe von PowerShell, um .exe-Dateien vom Scannen auszuschließen. Dies geschieht auch zum Schutz vor Entdeckung.
Andere Infostealer auf freiem Fuß, zu
CryptBot ist ein weiterer neuer Infostealer, der mit Hilfe von Raubkopien von Software-Websites verbreitet wird, die kostenlose Downloads für gecrackte Spiele und professionelle Software anbieten.
Cryptbot wurde als „ein typischer Infostealer“ beschrieben, in der Lage, Anmeldeinformationen für Browser zu erhalten, Geldbörsen für Kryptowährungen, Browser-Cookies, Kreditkarten, und erstellt Screenshots des infizierten Systems.“ Gestohlene Details werden in ZIP-Dateien gebündelt und auf den Command-and-Control-Server hochgeladen.
Wir raten unseren Lesern, beim Herunterladen von Software aus dem Internet besonders wachsam zu sein, oder unerwartete E-Mail-Nachrichten öffnen. Wie in den obigen Beispielen zu sehen, Dies sind beliebte Verbreitungskanäle von Trojanern und Infostealern.