META Infostealer

El META Infolstealer es una cepa nueva y amenazante que ha ido ganando terreno entre los ciberdelincuentes. La amenaza de malware es parte de la ola de creaciones dañinas destinadas a llenar el vacío que quedó después de que los operadores de Raccoon Stealer detuvieran sus actividades. Como resultado, muchos piratas informáticos y organizaciones de piratas informáticos comenzaron a buscar su próxima plataforma de ataque, y parece que META Infostealer ha logrado satisfacer la mayoría de sus necesidades. Hasta ahora, el acceso al malware se puede obtener mediante una suscripción mensual de $125 o un pago único de por vida de $1000.

La amenaza se anuncia como una versión más potente y mejorada de RedLine. Puede obtener información confidencial de los dispositivos infectados, como credenciales de inicio de sesión y contraseñas almacenadas en algunos de los navegadores web más populares, como Chrome, Firefox y Edge. Además, los atacantes pueden aprovechar META Infostealer para comprometer las billeteras de criptomonedas de la víctima.

La cadena de ataque

El experto en seguridad y controlador de ISC, Brad Duncan, descubrió una campaña activa diseñada para implementar META Infostealer. Los actores de amenazas emplean el vector de infección probado y probado de diseminar correos electrónicos no deseados con archivos adjuntos envenenados. Estos correos electrónicos de señuelo podrían contener reclamos completamente inventados sobre transferencias de fondos u otros eventos aparentemente urgentes que requieren atención inmediata por parte del usuario. Para ver información sobre el supuesto problema, se indica a las víctimas que abran el archivo adjunto, que es una hoja de cálculo de Excel con macros. Para parecer más legítimo, el archivo lleva un logotipo de DocuSign e indica a los usuarios que "habiliten el contenido", un paso necesario para la ejecución de una macro de VBS corrupta.

Cuando se inicia el script, buscará y entregará al dispositivo del usuario varias cargas útiles que consisten en múltiples DLL y ejecutables. Los archivos se recuperan de diferentes sitios web, como GitHub. Para evitar que las aplicaciones de seguridad los detecten, los archivos soltados pueden estar codificados en base64 o tener sus bytes invertidos. La carga útil final se creará en el dispositivo como un archivo llamado 'qwveqwveqw.exe'. Es probable que el nombre elegido se genere al azar. Se inyectará una nueva clave de registro y actuará como un mecanismo de persistencia. Como parte de sus acciones, la amenaza también utilizará los comandos de PowerShell para obligar a Windows Defender a dejar de escanear los archivos .exe en el sistema. Una señal clara de la presencia de META Infostealer es el tráfico continuo entre su archivo .exe de carga útil y el servidor de operaciones de comando y control.