C'è un nuovo ladro di informazioni in aumento, e ricercatori di sicurezza affermano che attualmente viene distribuito in campagne di spam. In altre parole, il cosiddetto infostealer META viene consegnato tramite spam dannoso nei messaggi di posta elettronica (allegati). Dal famigerato Raccoon Infostealer non è più un giocatore, altri infostealer stanno combattendo per prendere il suo posto.
META Infostealer: Quello che si sa finora?
I ricercatori sulla sicurezza informatica riferiscono che lo strumento dannoso viene offerto $125 un mese, o $1,000 per un uso illimitato a vita. Viene promosso come una versione migliorata di RedLine, un'informazione- furto della famiglia di malware emersa durante la pandemia di Covid-19.
La nuova campagna di spam è stata rilevata dal ricercatore di sicurezza Brad Duncan, chi dice che viene utilizzato attivamente negli attacchi per rubare le password memorizzate in Chrome, Bordo, e browser Firefox. L'infostealer META è anche interessato alla raccolta di password per i portafogli di criptovaluta.
Poiché lo spam dannoso di solito si basa su macro dannose nei documenti, anche questo non fa eccezione. Il malware utilizza documenti Excel a macroistruzione inviati come allegati di posta elettronica. Anche se la campagna attuale non è eccezionalmente intelligente o scritta in modo convincente, può ancora essere efficiente, poiché molti utenti tendono a perdere le bandiere rosse e ad aprire regolarmente allegati sospetti.
Per apparire più convincente, il file Excel dannoso utilizza un'esca DocuSign per spingere la potenziale vittima ad abilitare il contenuto necessario per eseguire la macro dannosa. Una volta avviato lo script, scarica vari payload, come DDL ed eseguibili, da più direzioni. Alcuni dei file scaricati sono codificati con base64 o hanno i loro byte invertiti. Questo viene fatto per eludere il rilevamento da parte dei fornitori di sicurezza.
Il carico utile finale utilizza qwveqwveqw.exe come nome, ma i ricercatori notano che il nome potrebbe essere generato casualmente. Un nuovo chiave di registro viene aggiunto anche per la persistenza. Un'altra funzionalità di META inforstealer è la modifica di Window Defender utilizzando PowerShell per escludere i file .exe dalla scansione. Questo viene fatto anche per proteggersi dal rilevamento.
Altro Infostealer a piede libero, troppo
CryptoBot è un altro recente inforstealer distribuito con l'aiuto di siti Web di software piratati che offrono download gratuiti per giochi crackati e software di livello professionale.
Cryptbot è stato descritto come “un tipico infostealer, in grado di ottenere le credenziali per i browser, portafogli di criptovaluta, cookie del browser, carte di credito, e crea schermate del sistema infetto." I dettagli rubati vengono raggruppati in file zip e caricati sul server di comando e controllo.
Consigliamo ai nostri lettori di essere estremamente vigili durante il download di software dal web, o aprendo messaggi di posta elettronica insospettabili. Come visto negli esempi precedenti, questi sono canali di distribuzione popolari di trojan e infostealer.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: