Pencuri informasi Meta baru didistribusikan dalam kampanye malspam

Kampanye malspam telah ditemukan mendistribusikan malware META baru, malware pencuri info baru yang tampaknya semakin populer di kalangan penjahat dunia maya.

META adalah salah satu pencuri info baru, bersama dengan Mars Stealer dan BlackGuard, yang operatornya ingin memanfaatkan keluarnya Raccoon Stealer dari pasar yang membuat banyak orang mencari platform berikutnya.

Alat ini dijual dengan harga $125 untuk pelanggan bulanan atau $1.000 untuk penggunaan seumur hidup tanpa batas dan dipromosikan sebagai versi perbaikan dari RedLine.

Kampanye spam baru yang dilihat oleh peneliti keamanan dan ISC Handler Brad Duncan adalah bukti bahwa META secara aktif digunakan dalam serangan, digunakan untuk mencuri kata sandi yang disimpan di Chrome, Edge, dan Firefox, serta dompet cryptocurrency.

Rantai infeksi dalam kampanye tertentu mengikuti pendekatan “standar” dari spreadsheet Excel berlapis makro yang tiba di kotak masuk calon korban sebagai lampiran email.

Rantai infeksi META pada kampanye berbintik (isc.sans.edu)

Pesan tersebut membuat klaim palsu tentang transfer dana yang tidak terlalu meyakinkan atau dibuat dengan baik tetapi masih bisa efektif terhadap persentase penerima yang signifikan.

Email yang membawa lampiran Excel berbahaya (isc.sans.edu)

File spreadsheet menampilkan umpan DocuSign yang mendesak target untuk “mengaktifkan konten” yang diperlukan untuk menjalankan makro VBS berbahaya di latar belakang.

Umpan DocuSign yang memikat pengguna untuk mengaktifkan konten (isc.sans.edu)

Ketika skrip berbahaya berjalan, itu akan mengunduh berbagai muatan, termasuk DLL dan yang dapat dieksekusi, dari beberapa situs, seperti GitHub.

Beberapa file yang diunduh dikodekan base64 atau byte-nya dibalik untuk melewati deteksi oleh perangkat lunak keamanan. Misalnya, di bawah ini adalah salah satu sampel yang dikumpulkan oleh Duncan yang byte-nya dibalik dalam unduhan aslinya.

DLL disimpan dalam urutan byte terbalik (isc.sans.edu)

Akhirnya, muatan akhir dirakit pada mesin dengan nama “qwveqwveqw.exe,” yang kemungkinan acak, dan kunci registri baru ditambahkan untuk kegigihan.

Kunci registri baru dan executable berbahaya (isc.sans.edu)

Tanda infeksi yang jelas dan terus-menerus adalah file EXE yang menghasilkan lalu lintas ke server perintah dan kontrol di 193.106.191[.]162, bahkan setelah sistem di-boot ulang, memulai kembali proses infeksi pada mesin yang disusupi.

Lalu lintas berbahaya ditangkap di Wireshark (isc.sans.edu)

Satu hal yang perlu diperhatikan adalah bahwa META memodifikasi Windows Defender melalui PowerShell untuk mengecualikan file .exe dari pemindaian, untuk melindungi file dari deteksi.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings