Une campagne de malspam a été découverte distribuant le nouveau malware META, un nouveau malware voleur d’informations qui semble gagner en popularité parmi les cybercriminels.
META est l’un des nouveaux voleurs d’informations, avec Mars Stealer et BlackGuard, dont les opérateurs souhaitent profiter de la sortie de Raccoon Stealer du marché, ce qui a laissé de nombreuses personnes à la recherche de leur prochaine plate-forme.
EZpublish-france.fr a rendu compte pour la première fois de META le mois dernier, lorsque les analystes de KELA ont mis en garde contre son entrée dynamique sur le marché des botnets TwoEasy.
L’outil est vendu à 125 $ pour les abonnés mensuels ou à 1 000 $ pour une utilisation à vie illimitée et est présenté comme une version améliorée de RedLine.
Nouvelle campagne Meta malspam
Une nouvelle campagne de spam vue par le chercheur en sécurité et gestionnaire ISC Brad Duncan est la preuve que META est activement utilisé dans les attaques, déployé pour voler les mots de passe stockés dans Chrome, Edge et Firefox, ainsi que les portefeuilles de crypto-monnaie.
La chaîne d’infection dans la campagne particulière suit l’approche « standard » d’une feuille de calcul Excel à macro-lacés arrivant dans les boîtes de réception des victimes potentielles sous forme de pièces jointes.
Les messages font de fausses déclarations de transferts de fonds qui ne sont pas particulièrement convaincantes ou bien conçues, mais qui peuvent toujours être efficaces contre un pourcentage important de bénéficiaires.
Les fichiers de feuille de calcul comportent un leurre DocuSign qui incite la cible à « activer le contenu » requis pour exécuter la macro VBS malveillante en arrière-plan.
Lorsque le script malveillant s’exécute, il télécharge diverses charges utiles, y compris des DLL et des exécutables, à partir de plusieurs sites, tels que GitHub.
Certains des fichiers téléchargés sont encodés en base64 ou leurs octets sont inversés pour contourner la détection par un logiciel de sécurité. Par exemple, ci-dessous se trouve l’un des échantillons collectés par Duncan dont les octets ont été inversés dans le téléchargement d’origine.
Finalement, la charge utile finale est assemblée sur la machine sous le nom « qwveqwveqw.exe », qui est probablement aléatoire, et une nouvelle clé de registre est ajoutée pour la persistance.
Un signe clair et persistant de l’infection est le fichier EXE générant du trafic vers un serveur de commande et de contrôle au 193.106.191[.]162, même après le redémarrage du système, en redémarrant le processus d’infection sur la machine compromise.
Une chose à noter est que META modifie Windows Defender via PowerShell pour exclure les fichiers .exe de l’analyse, afin de protéger ses fichiers de la détection.
Si vous souhaitez approfondir les détails du trafic malveillant à des fins de détection ou de curiosité, Duncan a publié le PCAP du trafic d’infection ici.