Hay un nuevo ladrón de información en aumento, e investigadores de seguridad dicen que actualmente se está distribuyendo en campañas de malspam. En otras palabras, el llamado META infostealer se entrega a través de spam malicioso en mensajes de correo electrónico (archivos adjuntos). Desde el infame Infostealer mapache ya no es un jugador, otros ladrones de información están luchando para tomar su lugar.
Ladrón de información META: Lo que se sabe hasta ahora?
Los investigadores de ciberseguridad informan que la herramienta maliciosa se ofrece para $125 un mes, o $1,000 para uso ilimitado de por vida. Se promociona como una versión mejorada de RedLine., una información- robo de la familia de malware que surgió en medio de la pandemia de Covid-19.
La nueva campaña de malspam ha sido detectada por el investigador de seguridad Brad Duncan, quien dice que se está utilizando activamente en ataques para robar contraseñas almacenadas en Chrome, Borde, y navegadores Firefox. El ladrón de información META también está interesado en recolectar contraseñas para billeteras de criptomonedas.
Dado que el spam malicioso generalmente se basa en macros maliciosas en documentos, este tampoco es una excepcion. El malware utiliza documentos de Excel con macros que se envían como archivos adjuntos de correo electrónico.. Aunque la campaña actual no es excepcionalmente inteligente o está escrita de manera convincente, todavía puede ser eficiente, ya que muchos usuarios tienden a pasar por alto las señales de alerta y abren regularmente archivos adjuntos sospechosos.
Para parecer más convincente, el archivo de Excel malicioso utiliza un señuelo de DocuSign para empujar a la víctima potencial a habilitar el contenido necesario para ejecutar la macro maliciosa. Una vez que se inicia el script, descarga varias cargas útiles, como DDL y ejecutables, desde múltiples direcciones. Algunos de los archivos descargados están codificados con base64 o tienen sus bytes invertidos. Esto se hace para evadir la detección por parte de los proveedores de seguridad..
La carga útil final utiliza qwveqwveqw.exe como un nombre, pero los investigadores señalan que el nombre podría generarse aleatoriamente. Un nuevo clave de registro también se agrega para la persistencia. Otra capacidad de META inforstealer es modificar Windows Defender usando PowerShell para excluir los archivos .exe del análisis.. Esto también se hace para proteger contra la detección..
Otro ladrón de información suelto, demasiado
CryptBot es otro ladrón de información reciente que se distribuye con la ayuda de sitios web de software pirateado que ofrecen descargas gratuitas para juegos descifrados y software profesional..
Cryptbot ha sido descrito como "un típico ladrón de información, capaz de obtener credenciales para navegadores, carteras de criptomonedas, cookies del navegador, tarjetas de crédito, y crea capturas de pantalla del sistema infectado”. Los detalles robados se agrupan en archivos zip y se cargan en el servidor de comando y control.
Recomendamos a nuestros lectores que estén más atentos cuando descarguen software de la web., o abrir mensajes de correo electrónico insospechados. Como se ve en los ejemplos anteriores, estos son canales de distribución populares de troyanos y ladrones de información.