Er is een nieuwe informatie-stealer in opkomst, en beveiligingsonderzoekers zeggen dat het momenteel wordt verspreid in malspamcampagnes. Met andere woorden, de zogenaamde META infostealer wordt bezorgd via kwaadaardige spam in e-mailberichten (toebehoren). Sinds de beruchte Raccoon infostealer is geen speler meer, andere infostealers vechten om zijn plaats in te nemen.
META Infostealer: Wat is er bekend So Far?
Cybersecurity-onderzoekers melden dat de kwaadaardige tool wordt aangeboden voor: $125 een maand, of $1,000 voor onbeperkt levenslang gebruik. Het wordt gepromoot als een verbeterde versie van RedLine, een info- het stelen van malware-familie die ontstond te midden van de Covid-19-pandemie.
De nieuwe malspam-campagne is gedetecteerd door beveiligingsonderzoeker Brad Duncan, wie zegt dat het actief wordt gebruikt bij aanvallen om wachtwoorden te stelen die zijn opgeslagen in Chrome, Rand, en Firefox-browsers. De META-infostealer is ook geïnteresseerd in het verzamelen van wachtwoorden voor cryptocurrency-wallets.
Omdat kwaadaardige spam meestal afhankelijk is van kwaadaardige macro's in documenten, deze is ook geen uitzondering. De malware maakt gebruik van macro-geregen Excel-documenten die als e-mailbijlagen zijn verzonden. Ook al is de huidige campagne niet bijzonder slim of overtuigend geschreven, het kan nog steeds efficiënt zijn, omdat veel gebruikers de neiging hebben om de rode vlaggen te missen en regelmatig verdachte bijlagen openen.
Om overtuigender over te komen, het kwaadaardige Excel-bestand gebruikt een DocuSign-lokmiddel om het potentiële slachtoffer ertoe aan te zetten inhoud in te schakelen die nodig is om de kwaadaardige macro uit te voeren. Zodra het script is gestart, het downloadt verschillende payloads, zoals DDL's en uitvoerbare bestanden, vanuit meerdere richtingen. Sommige van de gedownloade bestanden zijn gecodeerd met base64 of hebben hun bytes omgekeerd. Dit wordt gedaan om detectie door beveiligingsleveranciers te ontwijken.
De uiteindelijke lading gebruikt qwveqwveqw.exe als een naam, maar onderzoekers merken op dat de naam willekeurig kan worden gegenereerd. Een nieuw registersleutel wordt ook toegevoegd voor persistentie. Een andere mogelijkheid van META inforstealer is het wijzigen van Window Defender met PowerShell om .exe-bestanden uit te sluiten van scannen. Dit wordt ook gedaan om te beschermen tegen detectie.
Andere Infostealer op vrije voeten, ook
CryptBot is een andere recente inforstealer die wordt verspreid met behulp van illegale softwarewebsites die gratis downloads aanbieden voor gekraakte games en professionele software.
Cryptbot is beschreven als "een typische infostealer", in staat om inloggegevens voor browsers te verkrijgen, portemonnees voor cryptovaluta, browser cookies, kredietkaarten, en maakt screenshots van het geïnfecteerde systeem.” Gestolen details worden gebundeld in zip-bestanden en geüpload naar de command-and-control-server.
We raden onze lezers aan extra waakzaam te zijn bij het downloaden van software van internet, of het openen van onvermoede e-mailberichten. Zoals te zien in de bovenstaande voorbeelden, dit zijn populaire distributiekanalen van trojans en infostealers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: