Detectar el ladrón de información META

[post-views]
abril 11, 2022 · 3 min de lectura
Detectar el ladrón de información META

Un nuevo info-stealer malware sigue los pasos de Mars Stealer y BlackGuard. El malware está disponible por $125 al mes o $1,000 por una suscripción de por vida. En los mercados de la darknet, se anuncia META Stealer como una mejora de RedLine Stealer, que se reveló por primera vez en 2020.

Detección de META Information Stealer

Para proteger la infraestructura de su empresa de posibles ataques de META Stealer, puede descargar una regla Sigma desarrollada por nuestro experimentado desarrollador de Threat Bounty Kaan Yeniyol, que nunca se pierde un truco.

Malware sospechoso MetaStealer (abril de 2022) Persistencia por detección de clave de registro (vía registry_event).

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro y Securonix.

La regla está alineada con el marco MITRE ATT&CK® más reciente v.10, abordando la táctica de evasión de defensas con la modificación del registro como técnica principal (T1112).

SOC Prime insta a los profesionales de la seguridad a unirse contra ciberataques respaldados por Rusia que acompañan la agresión militar contra Ucrania. El módulo Quick Hunt de SOC Prime permite un búsqueda web eficiente a través de una extensa colección de contenido de caza de amenazas asociado con la agresión rusa con las siguientes etiquetas #stopwar, #stoprussian y #stoprussianagression. Las consultas de caza de amenazas dedicadas están disponibles para buscar las amenazas mencionadas anteriormente de forma GRATUITA a través del enlace a continuación:

Colección completa de contenido de caza para detectar amenazas originadas en Rusia

¿Desea conectarse con líderes de la industria y desarrollar su propio contenido? Únase a la iniciativa de crowdsourcing de SOC Prime como colaborador de contenido y comparta sus propias reglas Sigma y YARA con la comunidad global de ciberseguridad mientras construye una defensa cibernética colaborativa en todo el mundo.

Ver detecciones Únase a Threat Bounty

Análisis de META Information Stealer

Una nueva cepa de malware info-stealer fue documentada por el investigador de seguridad y ISC Handler Brad Duncan a principios de abril. META Stealer está ganando ritmo, ganando popularidad entre los hackers que buscan obtener información sensible de los usuarios. Según la detallada investigación de Duncan, los adversarios despliegan META information stealer para apoderarse de las contraseñas de los sistemas infectados almacenadas en navegadores web como Firefox, Chrome y Edge, así como para acceder a billeteras de criptomonedas. La primera etapa de la cadena de ataque se caracteriza por la distribución de una hoja de cálculo de Excel con macros adjuntadas a través de correos electrónicos de phishing. El señuelo se basa en una falsa transferencia de fondos, instando a las víctimas a abrir un anexo de correo electrónico infectado. Si se siguen todos los pasos requeridos, se habilita el macro VBS en segundo plano. Luego sigue la descarga de cargas maliciosas, incluidos DLLs y ejecutables de varios dominios confiables.

Incluso después de reiniciar el sistema, el archivo EXE se comunica con un servidor de comando y control en 193.106.191[.]162. El proceso significa persistencia del malware, reanudando el proceso de infección en la máquina comprometida.

Los profesionales de seguridad deben tener en cuenta que META information stealer modifica Windows Defender a través de PowerShell para excluir archivos .exe de los escaneos, evitando así la detección. Para enfrentarse eficientemente a este malware sigiloso, únase a la plataforma Detection as Code de SOC Prime. La plataforma permite un avance rápido y eficiente de sus capacidades de detección de amenazas, potenciadas por la experiencia global en ciberseguridad. ¿Buscando maneras de contribuir con su propio contenido de detección y promover la defensa cibernética colaborativa? Únase a la iniciativa de crowdsourcing de SOC Prime para compartir sus reglas Sigma y YARA con la comunidad, contribuya a un ciberespacio más seguro y reciba recompensas recurrentes por su contenido!

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias