MetaStealer - это новый вариант похитителя информации, призванный заполнить пустоту после того, как в марте этого года прекратил свою деятельность похититель Racoon. Израильская разведывательная фирма Kela впервые обнаружила его появление на подпольных рынках.
MetaStealer
- сильная зависимость от библиотек с открытым исходным кодом
- Обход Microsoft Defender
- постоянство запланированных задач
- кража паролей
- Кейлоггер
- Скрытый VNC-сервер
В настоящее время распространяется через фишинг в виде вложений Excel.
На ранней стадии выполнения команда PowerShell добавляет правило исключения в Microsoft Defender, фактически отключая сканирование файлов с расширением '.exe'. Это снижает вероятность обнаружения основной полезной нагрузки, а также любых последующих полезных нагрузок, которые могут быть доставлены на целевой узел после заражения. Для поддержания устойчивости создается запланированная задача, срабатывающая при входе пользователя в систему, что обеспечивает сохранение вредоносной программы после перезагрузки.
Indicators of Compromise
IPv4
- 193.106.191.162
IPv4 and port
- 193.106.191.162:1775
Domains
- southerncompanygas.co
- wolsleyindustrialgroup.co
- wolsleyindustrialgroup.com
Emails
- andresbolivar@southerncompanygas.co
- info@kanzas.msk.ru
- jhurris@wolsleyindustrialgroup.com
- m.jones@wolsleyindustrialgroup.com
- mjones@wolsleyindustrialgroup.co
SHA256
- 71e54b829631b93adc102824a4d3f99c804581ead8058b684df25f1c9039b738
- 7641ae596b53c5de724101bd6df35c999c9616d93503bce0ffd30b1c0d041e3b
- 81e77fb911c38ae18c268178492224fab7855dd6f78728ffedfff6b62d1279dc
- 981247f5f23421e9ed736dd462801919fea2b60594a6ca0b6400ded463723a5e
- bf3b78329eccd049e04e248dd82417ce9a2bcaca021cda858affd04e513abe87
- cb6254808d1685977499a75ed2c0f18b44d15720c480fb407035f3804016ed89
- f644bef519fc0243633d13f18c97c96d76b95b6f2cbad2a2507fb8177b7e4d1d
- fba945b78715297f922b585445c74a4d7663ea2436b8c32bcb0f4e24324d3b8b