Détecter le voleur d’informations META

[post-views]
avril 11, 2022 · 4 min de lecture
Détecter le voleur d’informations META

Un nouveau malware voleur d’informations s’inscrit dans les traces de Mars Stealer et BlackGuard. Le malware est disponible pour 125 $ par mois ou 1 000 $ pour un abonnement à vie. Sur les marchés du darknet, META Stealer est annoncé comme une mise à niveau de RedLine Stealer, qui a été révélé pour la première fois en 2020.

Détection du voleur d’informations META

Pour protéger votre infrastructure d’entreprise contre les éventuelles attaques de META Stealer, vous pouvez télécharger une règle Sigma développée par notre développeur Threat Bounty expérimenté Kaan Yeniyol, qui ne manque jamais un détail.

Malware suspect MetaStealer (avril 2022) Persistance par détection de clé de registre (via registry_event).

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro, et Securonix.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de la défense avec la modification du registre comme technique principale (T1112).

SOC Prime exhorte les professionnels de la sécurité à s’unir contre les cyberattaques soutenues par la Russie qui accompagnent l’agression militaire contre l’Ukraine. Le module Quick Hunt de SOC Prime permet une recherche web efficace à travers une vaste collection de contenus de chasse aux menaces associés à l’agression russe avec les tags suivants #stopwar, #stoprussian, et #stoprussianagression. Les requêtes de chasse aux menaces dédiées sont disponibles pour rechercher les menaces susmentionnées GRATUITEMENT via le lien ci-dessous :

Collection complète de contenu de chasse pour détecter les menaces originaires de Russie

Envi d’entrer en contact avec les leaders de l’industrie et de développer votre propre contenu ? Rejoignez l’initiative de crowdsourcing de SOC Prime en tant que contributeur de contenu et partagez vos propres règles Sigma et YARA avec la communauté mondiale de la cybersécurité tout en construisant une défense cyber collaborative dans le monde entier.

Voir les détections Rejoindre Threat Bounty

Analyse du voleur d’informations META

Une nouvelle souche de malware voleur d’informations a été documentée par le chercheur en sécurité et gestionnaire ISC Brad Duncan au début avril. META Stealer prend de la vitesse, gagnant en popularité parmi les hackers qui cherchent à obtenir des informations sensibles des utilisateurs. Selon les recherches approfondies de Duncan, les adversaires déploient le voleur d’informations META pour s’emparer des mots de passe stockés dans les navigateurs web comme Firefox, Chrome et Edge sur les systèmes infectés, ainsi que pour craquer les portefeuilles de cryptomonnaie. La première étape de la chaîne de destruction est caractérisée par la distribution d’une feuille de calcul Excel contenant une macro via des e-mails de phishing. L’appât est basé sur le faux transfert de fonds, incitant les victimes à ouvrir une pièce jointe e-mail infectée. Si toutes les étapes requises sont suivies, la macro VBS est activée en arrière-plan. Ensuite, le téléchargement de charges utiles malveillantes, y compris des DLL et des exécutables depuis divers domaines de confiance suit.

Même après le redémarrage du système, le fichier EXE communique avec un serveur de commande et de contrôle à 193.106.191[.]162. Le processus signifie la persistance du malware, reprenant le processus d’infection sur la machine compromise.

Les professionnels de la sécurité doivent prendre en compte le fait que le voleur d’informations META modifie Windows Defender via PowerShell pour exclure les fichiers .exe de l’analyse, évitant ainsi la détection. Pour faire face efficacement au malware furtif, unissez vos forces avec la plateforme Detection as Code de SOC Prime. La plateforme permet une avancée rapide et efficace de vos capacités de détection des menaces, renforcée par la puissance de l’expertise mondiale en cybersécurité. Vous cherchez des moyens de contribuer votre propre contenu de détection et de favoriser la défense cyber collaborative ? Rejoignez l’initiative de crowdsourcing de SOC Prime pour partager vos règles Sigma et YARA avec la communauté, contribuer à un cyberespace plus sûr, et recevoir des récompenses récurrentes pour votre contenu !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification 4 min de lecture Dernières Menaces CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification by Veronika Telychko
Toutes les actualités