Il y a un nouveau voleur d'informations en hausse, et les chercheurs en sécurité disent qu'il est actuellement distribué dans des campagnes de spam. En d'autres termes, le soi-disant META infostealer est livré via des spams malveillants dans les e-mails (pièces jointes). Depuis le tristement célèbre infostealer raton laveur n'est plus un joueur, d'autres infostealers se battent pour prendre sa place.
Voleur d'informations META: Ce qui est connu So Far?
Les chercheurs en cybersécurité rapportent que l'outil malveillant est proposé pour $125 un mois, ou $1,000 pour une utilisation à vie illimitée. Il est promu comme une version améliorée de RedLine, une info- voler la famille de logiciels malveillants qui a émergé au milieu de la pandémie de Covid-19.
La nouvelle campagne de malspam a été détectée par le chercheur en sécurité Brad Duncan, qui dit qu'il est activement utilisé dans des attaques pour voler des mots de passe stockés dans Chrome, Bord, et les navigateurs Firefox. Le voleur d'informations META est également intéressé par la collecte de mots de passe pour les portefeuilles de crypto-monnaie.
Étant donné que les spams malveillants reposent généralement sur des macros malveillantes dans les documents, celui-ci n'est pas non plus une exception. Le logiciel malveillant utilise des documents Excel contenant des macros envoyés sous forme de pièces jointes à des e-mails. Même si la campagne actuelle n'est pas exceptionnellement intelligente ou écrite de manière convaincante, ça peut quand même être efficace, car de nombreux utilisateurs ont tendance à manquer les drapeaux rouges et ouvrent régulièrement des pièces jointes suspectes.
Pour paraître plus convaincant, le fichier Excel malveillant utilise un leurre DocuSign pour pousser la victime potentielle à activer le contenu requis pour exécuter la macro malveillante. Une fois le script lancé, il télécharge diverses charges utiles, tels que les DDL et les exécutables, de plusieurs directions. Certains des fichiers téléchargés sont encodés avec base64 ou ont leurs octets inversés. Ceci est fait pour échapper à la détection par les fournisseurs de sécurité.
La charge utile finale utilise qwveqwveqw.exe comme nom, mais les chercheurs notent que le nom pourrait être généré aléatoirement. Un nouveau clé d'enregistrement est également ajouté pour la persistance. Une autre capacité de META inforstealer est de modifier Windows Defender à l'aide de PowerShell pour exclure les fichiers .exe de l'analyse.. Ceci est également fait pour se protéger contre la détection.
Autre voleur d'informations en liberté, trop
CryptBot est un autre inforstealer récent distribué avec l'aide de sites Web de logiciels piratés qui proposent des téléchargements gratuits de jeux piratés et de logiciels de qualité professionnelle.
Cryptbot a été décrit comme "un voleur d'informations typique, capable d'obtenir des informations d'identification pour les navigateurs, portefeuilles de crypto-monnaie, cookies de votre navigateur, cartes de crédit, et crée des captures d'écran du système infecté. Les détails volés sont regroupés dans des fichiers zip et téléchargés sur le serveur de commande et de contrôle.
Nous conseillons à nos lecteurs d'être extrêmement vigilants lors du téléchargement de logiciels à partir du Web, ou ouvrir des e-mails insoupçonnés. Comme on le voit dans les exemples ci-dessus, ce sont des canaux de distribution populaires de chevaux de Troie et de voleurs d'informations.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: