Обнаружена новая рекламная кампания, распространяющая вредоносную программу MetaStealer. MetaStealer - это популярная вредоносная программа, которая впервые была замечена в 2022 году и с тех пор использовалась различными субъектами угроз. В основном вредоносная программа распространяется через вредоносный спам и взломанное программное обеспечение через украденные аккаунты на YouTube.
Однако в начале декабря она также была замечена в кампании по распространению вредоносной рекламы. В ходе недавней кампании было замечено распространение MetaStealer через две различные рекламы Notepad++ и AnyDesk в поисковых системах Google. Полезная нагрузка содержала ярлык, запускающий PowerShell, который использовал жестко закодированный путь к папке Downloads.
Декабрьская кампания избавилась от PowerShell, а вредоносная DLL была перекомпилирована. Разработчики MetaStealer совершенствуют свой продукт, и, скорее всего, мы увидим, как его распространяют новые клиенты. Угонщики могут служить разным целям, но, как правило, их целью являются предметы, которые преступники могут легко монетизировать. Криптокошельки, как правило, весьма желанны, как и учетные данные для различных онлайн-сервисов. Угонщики также могут использоваться брокерами первичного доступа, прокладывая путь для исполнителей программ-вымогателей. О вредоносной рекламе было сообщено в Google, и инфраструктура, стоящая за этими кампаниями, была заблокирована.
Indicators of Compromise
Domains
- cewgwsyookogmmki.xyz
- csyeywqwyikqaiim.xyz
- iqaeaoeueeqouweo.xyz
- iqwgwsigmigiqgoa.xyz
- kiqewcsyeyaeusag.xyz
- mmswgeewswyyywqk.xyz
- ockimqekmwecocug.xyz
- rawnotepad.com
- startworkremotely.com
- wgcuwcgociewewoo.xyz
URLs
- http://rawnotepad.com/notepad++.zip
- http://startworkremotely.com/Anydesk.zip
SHA256
- 401857f7cd50eaee4f5396ea491bf74b010a473933483e323faf8e9a9801d50f
- 949c5ae4827a3b642132faf73275fb01c26e9dce151d6c5467d3014f208f77ca
- 99123063690e244f95b89d96759ec7dbc28d4079a56817f3152834047ab047eb
- c5597da40dee419696ef2b32cb937a11fcad40f4f79f9a80f6e326a94e81a90f