META является одним из новых похитителей информации, наряду с Mars Stealer и BlackGuard. Операторы последних решили воспользоваться уходом Raccoon Stealer с рынка, который заставил многих преступников искать себе новую платформу.

Инструмент купить meta stealer можно по цене $125 за ежемесячную подписку или $1 тыс. за неограниченное пожизненное использование и рекламируется как улучшенная версия RedLine.

Новая кампания по распространению спама указывает на то, что META активно используется в атаках для кражи криптовалютных кошельков и паролей, хранящихся в браузерах Google Chrome, Microsoft Edge и Mozilla Firefox.

Мошенники прибегли к «стандартному» подходу, рассылая письма с электронными таблицами Microsoft Excel с макросами. В сообщениях содержатся фальшивые и не очень правдоподобные заявления о переводе средств потенциальной жертвы. Файлы электронных таблиц содержат приманку DocuSign, которая побуждает цель «включить контент», необходимый для запуска вредоносного Макрос VBS в фоновом режиме.

Когда вредоносный скрипт запускается, он загружает различные полезные данные, включая DLL-библиотеки DLL и исполняемые файлы, с нескольких сайтов, включая GitHub. Некоторые из загруженных файлов имеют кодировку base64 с целью избежать обнаружения защитным программным обеспечением.

На компьютерной системе жертвы собирается конечная полезная нагрузка под названием qwveqwveqw.exe, которое, предположительно, является случайным. В целях обеспечения персистентности также добавляется новый раздел реестра.

EXE-файл генерирует трафик на командный сервер даже после перезагрузки системы, перезапуская процесс заражения на устройстве. META изменяет конфигурации Защитника Windows через PowerShell, исключая исполняемые файлы из списка сканирования.

Источник https://cnn.mirtesen.ru/blog/43789676559/zachem-nuzhen-meta-stealer