META Infostealer

Le META Infolstealer est une nouvelle souche menaçante qui gagne du terrain parmi les cybercriminels. La menace des logiciels malveillants fait partie de la vague de créations nuisibles visant à combler le vide laissé après que les opérateurs de Raccoon Stealer aient cessé leurs activités. En conséquence, de nombreux pirates et organisations de pirates ont commencé à chercher leur prochaine plate-forme d'attaque, et il semble que le META Infostealer ait réussi à répondre à la plupart de leurs besoins. Jusqu'à présent, l'accès au logiciel malveillant peut être obtenu moyennant un abonnement mensuel de 125 $ ou un paiement unique à vie de 1 000 $.

La menace est annoncée comme une version plus puissante et améliorée de RedLine. Il peut obtenir des informations sensibles des appareils infectés, telles que les identifiants de connexion et les mots de passe stockés dans certains des navigateurs Web les plus populaires, tels que Chrome, Firefox et Edge. De plus, les attaquants peuvent tirer parti du META Infostealer pour compromettre les portefeuilles de crypto-monnaie de la victime.

La chaîne d'attaque

L'expert en sécurité et gestionnaire ISC Brad Duncan a découvert une campagne active conçue pour déployer le META Infostealer. Les acteurs de la menace utilisent le vecteur d'infection éprouvé de diffusion de spams avec des pièces jointes empoisonnées. Ces e-mails leurres peuvent contenir des allégations complètement fabriquées concernant des transferts de fonds ou d'autres événements apparemment urgents qui nécessitent une attention immédiate de la part de l'utilisateur. Pour voir des informations sur le problème supposé, les victimes sont invitées à ouvrir le fichier joint, qui est une feuille de calcul Excel contenant des macros. Pour paraître plus légitime, le fichier porte un logo DocuSign et demande aux utilisateurs d'« activer le contenu », une étape nécessaire à l'exécution d'une macro VBS corrompue.

Lorsque le script est lancé, il récupère et livre à l'appareil de l'utilisateur plusieurs charges utiles composées de plusieurs DLL et exécutables. Les fichiers sont récupérés à partir de différents sites Web, tels que GitHub. Pour éviter d'être détectés par les applications de sécurité, les fichiers déposés peuvent être encodés en base64 ou avoir leurs octets inversés. La charge utile finale sera créée sur l'appareil sous la forme d'un fichier nommé "qwveqwveqw.exe". Le nom choisi est susceptible d'être généré au hasard. Une nouvelle clé de registre sera injectée et agira comme un mécanisme de persistance. Dans le cadre de ses actions, la menace utilisera également les commandes PowerShell pour forcer Windows Defender à arrêter l'analyse des fichiers .exe sur le système. Un signe clair de la présence du META Infostealer est le trafic continu entre son fichier .exe de charge utile et le serveur de commande et de contrôle des opérations.