METAはじめました
METAはインフォスティーラーです。
こんな感じです。
- パスワードや暗号通貨ウォレットを盗む
Chrome、Edge、Firefoxに保存されているパスワードや暗号通貨ウォレットを盗みます。 - RedLine Stealerの新型として売り出されている
- 使用許諾形式
このツールは、月額購読者の場合は125ドル、生涯無制限の使用の場合は1,000ドルで販売されています。 - 感染経路
感染はスパムメールに添付されたExcelワークシートから始まります。 - Excelのマクロで感染する
開かせたExcelにはマクロがついています。
マクロの実行のために、巧妙にボタンを押させるように作られています。
マクロの実行が開始されると次々に処理が実施されていき、最終的にはMETAが実行されます。 - ファイルレスではない
普通のexeファイルとして感染端末上に置かれます。
永続化もされます。 - Windows Defenderの無効化
感染処理のなかでPowerShell scriptによる環境変更も実行されます。
そのなかでexe拡張子のファイルをWindows Defenderのスキャン対象から除外する設定が加えられます。
これによってMETAはWindows Defenderで検出されなくなります。
Raccoon StealerというMaaSモデルで展開しているマルウェアがありました。
この犯罪グループはコア開発者の一人がウクライナの侵攻の関係で殺害されたため活動を停止しています。
これを使用していた犯罪者は他のRaaSに引っ越しを考えます。
そういったタイミングの関係か、このMETAは活動が多く観測されるようになってきています。
METAにはこれといった技術的な特徴はないように思えます。
しかし他の乗り換え先に比較すると利用のために必要となる費用が安いという特徴がありそうです。
マルウェアを使った活動が営利目的である場合、経費を抑えることは重要ということでしょうか。
参考記事(外部リンク):New Meta information stealer distributed in malspam campaign
www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/
