Há um novo ladrão de informações em ascensão, e pesquisadores de segurança dizem que atualmente está sendo distribuído em campanhas de spam. Em outras palavras, o chamado infostealer META é entregue via spam malicioso em mensagens de e-mail (anexos). Desde o famoso Raccoon Infostealer não é mais jogador, outros infostealers estão lutando para tomar seu lugar.
META Infostealer: O que se sabe até agora?
Pesquisadores de segurança cibernética relatam que a ferramenta maliciosa está sendo oferecida para $125 um mês, ou $1,000 para uso vitalício ilimitado. Está sendo promovido como uma versão melhorada do RedLine, uma informação- roubando família de malware que surgiu em meio à pandemia de Covid-19.
A nova campanha de spam foi detectada pelo pesquisador de segurança Brad Duncan, que diz que está sendo usado ativamente em ataques para roubar senhas armazenadas no Chrome, Beira, e navegadores Firefox. O infostealer META também está interessado em coletar senhas para carteiras de criptomoedas.
Como o spam malicioso geralmente depende de macros maliciosas em documentos, este também não é uma exceção. O malware usa documentos do Excel com macros enviados como anexos de e-mail. Mesmo que a campanha atual não seja excepcionalmente inteligente ou escrita de maneira convincente, ainda pode ser eficiente, já que muitos usuários tendem a perder as bandeiras vermelhas e abrem anexos suspeitos regularmente.
Para parecer mais convincente, o arquivo malicioso do Excel usa uma isca DocuSign para empurrar a vítima em potencial para habilitar o conteúdo necessário para executar a macro maliciosa. Uma vez que o script é iniciado, ele baixa várias cargas úteis, como DDLs e executáveis, de várias direções. Alguns dos arquivos baixados são codificados com base64 ou têm seus bytes revertidos. Isso é feito para evitar a detecção por fornecedores de segurança.
A carga útil final usa qwveqwveqw.exe como um nome, mas os pesquisadores observam que o nome pode ser gerado aleatoriamente. Uma nova Chave do registro também é adicionado para persistência. Outro recurso do META inforstealer é modificar o Window Defender usando o PowerShell para excluir arquivos .exe da verificação. Isso também é feito para proteger contra detecção.
Outro Infostealer à solta, também
CryptBotName é outro inforstealer recente distribuído com a ajuda de sites de software pirata que oferecem downloads gratuitos de jogos crackeados e software de nível profissional.
Cryptbot foi descrito como “um típico infostealer, capaz de obter credenciais para navegadores, carteiras de criptomoedas, cookies do navegador, cartões de crédito, e cria capturas de tela do sistema infectado.” Os detalhes roubados são agrupados em arquivos zip e carregados no servidor de comando e controle.
Aconselhamos nossos leitores a serem extremamente vigilantes ao baixar software da web, ou abrindo mensagens de e-mail insuspeitas. Como visto nos exemplos acima, estes são canais de distribuição populares de trojans e infostealers.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: