Meh Malware
El Meh Malware es un ladrón de contraseñas y un keylogger principalmente, pero sus capacidades amenazantes se extienden mucho más allá y abarcan una amplia gama de funciones. El malware consta de dos partes: un cifrador llamado MehCrypter y el núcleo real de la amenaza llamado Meh.
El componente de cifrado pasa por varias etapas diseñadas para entregar y ofuscar los pasos iniciales de la cadena de ataque de Meh Malware. Primero inicia un cuentagotas que descarga tres archivos adicionales de los servidores Command-and-Control a través de solicitudes HTTP POST. Los archivos son pe.bin, base.au3 y autoit.exe, y los tres se guardan en el directorio C: \ testintel2 \. El binario principal de Meh está contenido en el binario pe.bin, descifrado por el tercer paso de etapas de las operaciones de MehCrypter.
Cuando está completamente implementado, Meh Malware brinda a los actores de amenazas un control casi completo sobre el sistema comprometido. Puede obtener contenido del portapapeles, realizar registros de teclas, recopilar carteras de criptomonedas, colocar archivos adicionales a través de clientes de torrents, implementar y ejecutar un malware de criptominería XMRig y más. El Meh Malware también viene con un módulo troyano de acceso remoto (RAT) versátil que reconoce y ejecuta alrededor de 45 comandos diferentes. Casi todas las diferentes funcionalidades de Meh Malware se realizan mediante subprocesos, que se ejecutan mediante inyecciones en procesos legítimos de Windows.
El segundo segmento es un ladrón de contraseñas, llamado Meh. El ladrón es el centro de la amenaza y tiene muchas funcionalidades. El ladrón es capaz de descargar archivos adicionales a través de torrents, recopilar contenido del portapapeles, registrar claves, recopilar carteras de criptomonedas y mucho más. Casi todas sus funcionalidades se realizan en subprocesos, ejecutados a partir de procesos inyectados. Los principales hilos observados en Meh Malware son:
- Hilo de inyección
- Hilo de instalación y persistencia
- Hilo de comprobación Anti-AV
- Hilo de criptominería
- Hilo de descarga de torrent
- Hilo de robo de portapapeles y registro de teclas
- Carteras criptográficas que roban hilo
- Hilo de fraude publicitario
Como indican los nombres de los primeros hilos, Meh Malware realiza varias acciones que facilitan su establecimiento en el sistema comprometido. La amenaza crea un mecanismo de persistencia y comprueba la presencia de varias soluciones anti-malware.
El núcleo principal de la actividad de Meh Malware es recolectar y exfiltrar varios datos. Además de las funciones habituales de robo de información, como el registro de teclas y la interceptación del contenido del portapapeles, la amenaza también se dirige a las carteras de criptomonedas para Bitcoin, Electrum, Electrum-LTC, ElectronCash, Litecoin, Jax y Exodus. Y si eso no fuera suficiente, al recibir los parámetros adecuados, la amenaza también puede llevar a cabo un fraude publicitario al iniciar clics forzados en páginas publicitarias arbitrarias.
Las ya amplias capacidades de Meh Malware se mejoran aún más mediante la presencia de un módulo RAT. A través de él, los piratas informáticos pueden manipular el sistema de archivos, recolectar contraseñas del navegador y cookies, administrar la actividad de criptominería y entregar criptomineros adicionales, usar la línea de comandos, etc. Un comando en particular ve al módulo RAT eliminando las instantáneas creadas por Windows sistema, lo que indica una posible amenaza de ransomware que se incorporará al Meh Malware en algún momento futuro.
