Malware Meh

Description de Malware Meh

Le Malware Meh est principalement un voleur de mots de passe et un keylogger, mais ses capacités menaçantes s'étendent bien au-delà et englobent toute une gamme de fonctions. Le malware se compose de deux parties: un crypteur nommé MehCrypter et le noyau réel de la menace nommée Meh.

Le composant crypteur passe par plusieurs étapes conçues pour livrer et masquer les étapes initiales de la chaîne d'attaque de Meh Malware. Il lance d'abord un compte-gouttes qui télécharge trois fichiers supplémentaires à partir des serveurs de commande et de contrôle via des requêtes HTTP POST. Les fichiers sont pe.bin, base.au3 et autoit.exe, et tous les trois sont enregistrés dans le répertoire C: \ testintel2 \. Le binaire Meh principal est contenu dans le binaire pe.bin, déchiffré par la troisième étape de stager des opérations de MehCrypter.

Lorsqu'il est entièrement déployé, Meh Malware donne aux acteurs de la menace un contrôle quasi-complet sur le système compromis. Il peut obtenir le contenu du presse-papiers, effectuer un enregistrement de frappe, collecter des portefeuilles de crypto-monnaie, déposer des fichiers supplémentaires via des clients torrent, déployer et exécuter un malware de cryptomining XMRig, etc. Le Meh Malware est également livré avec un module polyvalent Remote Access Trojan (RAT) qui reconnaît et exécute environ 45 commandes différentes. Presque toutes les différentes fonctionnalités de Meh Malware sont effectuées par des sous-threads, qui sont exécutés en effectuant des injections dans des processus Windows légitimes.

Le deuxième segment est un voleur de mot de passe, appelé Meh. Le voleur est au centre de la menace et comporte de nombreuses fonctionnalités. Le voleur est capable de télécharger des fichiers supplémentaires via des torrents, de collecter le contenu du presse-papiers, d'enregistrer des frappes, de collecter des portefeuilles de crypto-monnaie, et bien plus encore. Presque toutes ses fonctionnalités sont réalisées dans des sous-threads, exécutés à partir de processus injectés. Les principaux threads observés dans Meh Malware sont:

  • Fil d'injection
  • Fil d'installation et de persistance
  • Fil de contrôle anti-AV
  • Fil de cryptominage
  • Fil de téléchargement du torrent
  • Fil de vol de presse-papiers et de keylogging
  • Les portefeuilles cryptographiques volent du fil
  • Fil de fraude publicitaire

Comme l'indiquent les noms des premiers threads, le Meh Malware effectue plusieurs actions facilitant son implantation sur le système compromis. La menace crée un mécanisme de persistance et vérifie la présence de plusieurs solutions anti-malware.

Le cœur de l'activité de Meh Malware est de récolter et d'exfiltrer diverses données. Outre les fonctions habituelles d'infostealer telles que l'enregistrement de frappe et l'interception du contenu du presse-papiers, la menace cible également les portefeuilles de crypto-monnaie pour Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax et Exodus. Et si cela ne suffisait pas, en recevant les paramètres appropriés, la menace peut également mener une fraude publicitaire en provoquant des clics forcés sur des pages publicitaires arbitraires.

Les capacités déjà étendues du Meh Malware sont encore renforcées grâce à la présence d'un module RAT. Grâce à lui, les pirates peuvent manipuler le système de fichiers, récolter les mots de passe du navigateur et les cookies, gérer l'activité de cryptomining et fournir des cryptomineurs supplémentaires, utiliser la ligne de commande, etc. Une commande particulière voit le module RAT supprimer les clichés instantanés créés par Windows système, indiquant une menace potentielle de ransomware incorporée dans le Malware Meh à un moment donné.