META является одним из новых похитителей информации, наряду с Mars Stealer и BlackGuard. Операторы последних решили воспользоваться уходом Raccoon Stealer с рынка, который заставил многих преступников искать себе новую платформу.
Инструмент купить meta stealer можно по цене $125 за ежемесячную подписку или $1 тыс.
за неограниченное пожизненное использование и рекламируется как улучшенная версия RedLine.Новая кампания по распространению спама указывает на то, что META активно используется в атаках для кражи криптовалютных кошельков и паролей, хранящихся в браузерах Google Chrome, Microsoft Edge и Mozilla Firefox.
Мошенники прибегли к «стандартному» подходу, рассылая письма с электронными таблицами Microsoft Excel с макросами. В сообщениях содержатся фальшивые и не очень правдоподобные заявления о переводе средств потенциальной жертвы. Файлы электронных таблиц содержат приманку DocuSign, которая побуждает цель «включить контент», необходимый для запуска вредоносного Макрос VBS в фоновом режиме.
Когда вредоносный скрипт запускается, он загружает различные полезные данные, включая DLL-библиотеки DLL и исполняемые файлы, с нескольких сайтов, включая GitHub. Некоторые из загруженных файлов имеют кодировку base64 с целью избежать обнаружения защитным программным обеспечением.
На компьютерной системе жертвы собирается конечная полезная нагрузка под названием qwveqwveqw.exe, которое, предположительно, является случайным. В целях обеспечения персистентности также добавляется новый раздел реестра.
EXE-файл генерирует трафик на командный сервер даже после перезагрузки системы, перезапуская процесс заражения на устройстве. META изменяет конфигурации Защитника Windows через PowerShell, исключая исполняемые файлы из списка сканирования.