Siber suçlular arasında popülaritesi artıyor gibi görünen yeni bir bilgi hırsızı kötü amaçlı yazılım olan yeni META kötü amaçlı yazılımını dağıtan bir kötü amaçlı spam kampanyası bulundu.
META, operatörlerinden yararlanmak isteyen Mars Stealer ve BlackGuard ile birlikte yeni bilgi hırsızlarından biridir. Raccoon Stealer’ın çıkışı pek çok kişinin bir sonraki platformunu aramasına neden olan pazardan.
Önce Blee Bilgisayar geçen ay META hakkında rapor verdiKELA’daki analistler, dinamik girişi konusunda uyardığında TwoEasy botnet pazarı.
Araç, aylık aboneler için 125 ABD Doları veya sınırsız ömür boyu kullanım için 1.000 ABD Doları’ndan satılmaktadır ve RedLine’ın geliştirilmiş bir sürümü olarak tanıtılmaktadır.
Yeni Meta kötü amaçlı spam kampanyası
Güvenlik araştırmacısı ve ISC İşleyicisi Brad Duncan tarafından görülen yeni bir spam kampanyası, META’nın saldırılarda aktif olarak kullanıldığının, Chrome, Edge ve Firefox’ta depolanan şifrelerin yanı sıra kripto para cüzdanlarını çalmak için konuşlandırıldığının kanıtıdır.
Belirli kampanyadaki enfeksiyon zinciri, olası kurbanların gelen kutularına e-posta ekleri olarak ulaşan makro bağlantılı bir Excel elektronik tablosunun “standart” yaklaşımını izler.
Mesajlar, özellikle ikna edici veya iyi hazırlanmış olmayan, ancak yine de alıcıların önemli bir yüzdesine karşı etkili olabilen fon transferlerine ilişkin düzmece iddialarda bulunuyor.
Elektronik tablo dosyaları, hedefi arka planda kötü amaçlı VBS makrosunu çalıştırmak için gereken “içeriği etkinleştirmeye” teşvik eden bir DocuSign cazibesine sahiptir.
Kötü amaçlı komut dosyası çalıştığında, GitHub gibi birden çok siteden DLL’ler ve yürütülebilir dosyalar dahil olmak üzere çeşitli yükleri indirir.
İndirilen dosyalardan bazıları, base64 ile kodlanmıştır veya güvenlik yazılımı tarafından algılamayı atlamak için baytları tersine çevrilmiştir. Örneğin, aşağıda orijinal indirmede baytları ters çevrilmiş Duncan tarafından toplanan örneklerden biri verilmiştir.
.png)
Sonunda, son yük, muhtemelen rastgele olan “qwveqwveqw.exe” adı altında makinede birleştirilir ve kalıcılık için yeni bir kayıt defteri anahtarı eklenir.
EXE dosyasının 193.106.191’de bir komut ve kontrol sunucusuna trafik oluşturması, bulaşmanın açık ve kalıcı bir işaretidir.[.]162, sistem yeniden başlatıldıktan sonra bile, güvenliği ihlal edilmiş makinede bulaşma sürecini yeniden başlatıyor.
Unutulmaması gereken bir nokta, META’nın Windows Defender’ı PowerShell aracılığıyla .exe dosyalarını tarama dışında bırakmak ve dosyalarını algılamaya karşı korumak için değiştirmesidir.
Algılama veya merak amacıyla kötü niyetli trafik ayrıntılarına daha derinlemesine dalmak isterseniz, Duncan bulaşma trafiğinin PCAP’sini yayınladı. burada.