Rilevare Meta Information Stealer

[post-views]
Aprile 11, 2022 · 4 min di lettura
Rilevare Meta Information Stealer

Un nuovo info-stealer malware segue le orme di Mars Stealer e BlackGuard. Il malware è disponibile per $125 al mese o $1.000 per un abbonamento a vita. Nei mercati darknet, META Stealer è pubblicizzato come un aggiornamento di RedLine Stealer, che è stato rivelato per la prima volta nel 2020.

Rilevamento META Information Stealer

Per proteggere l’infrastruttura della tua azienda da possibili attacchi META Stealer, puoi scaricare una regola Sigma sviluppata dal nostro esperto Threat Bounty developer Kaan Yeniyol, che non si lascia mai sfuggire nulla.

Malware sospetto MetaStealer (aprile 2022) Persistenza tramite rilevamento della chiave di registro (tramite registry_event).

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro e Securonix.

La regola è allineata all’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica dell’Evasione Difensiva con la modifica del Registro di sistema come tecnica principale (T1112).

SOC Prime esorta i professionisti della sicurezza a unirsi contro gli attacchi informatici supportati dalla Russia che accompagnano l’aggressione militare contro l’Ucraina. Il modulo Quick Hunt di SOC Prime consente una ricerca efficiente attraverso un’ampia raccolta di contenuti di caccia alle minacce associati all’aggressione russa con i seguenti tag #stopwar, #stoprussian e #stoprussianagression. Le query di caccia alle minacce dedicate sono disponibili per cercare GRATUITAMENTE le minacce sopra riportate tramite il link sottostante:

Raccolta completa di contenuti di caccia per rilevare le minacce d’origine russa

Desideroso di connetterti con i leader del settore e sviluppare i tuoi contenuti? Unisciti all’iniziativa di crowdsourcing di SOC Prime come contributore di contenuti e condividi le tue regole Sigma e YARA con la comunità globale della cybersicurezza mentre costruisci una difesa cibernetica collaborativa in tutto il mondo.

Visualizza Rilevamenti Partecipa a Threat Bounty

Analisi META Information Stealer

Un nuovo ceppo di malware info-stealer è stato documentato dal ricercatore di sicurezza e ISC Handler Brad Duncan nei primi di aprile. META Stealer sta accelerando, guadagnando popolarità tra gli hacker che cercano le informazioni sensibili degli utenti. Secondo la ricerca approfondita di Duncan, gli avversari utilizzano l’information stealer META per prendere possesso delle password dei sistemi infetti memorizzate nei browser web come Firefox, Chrome ed Edge, così come per crackare i portafogli di criptovalute. La prima fase della catena di attacco è caratterizzata dalla distribuzione di un foglio di calcolo Excel con macro tramite email di phishing. L’esca è basata su una falsa transazione di fondi, spingendo le vittime ad aprire un allegato infetto. Se vengono seguiti tutti i passaggi richiesti, la macro VBS viene abilitata in background. Segue quindi il download di payload dannosi, inclusi DLL ed eseguibili da vari domini affidabili.

Anche dopo il riavvio del sistema, il file EXE comunica con un server di comando e controllo a 193.106.191[.]162. Il processo segnala la persistenza del malware, riprendendo il processo di infezione sulla macchina compromessa.

I professionisti della sicurezza dovrebbero considerare il fatto che l’information stealer META modifica Windows Defender tramite PowerShell per escludere i file .exe dalla scansione, evitando così il rilevamento. Per affrontare efficacemente i malware furtivi, unisci le forze con la piattaforma Detection as Code di SOC Prime. La piattaforma permette un rapido ed efficiente avanzamento delle tue capacità di rilevamento delle minacce, potenziato dalla forza dell’esperienza globale di cybersicurezza. Cerchi modi per contribuire con i tuoi contenuti di rilevamento e promuovere una difesa cibernetica collaborativa? Unisciti all’iniziativa di crowdsourcing di SOC Prime per condividere le tue regole Sigma e YARA con la comunità, contribuire a uno spazio cibernetico più sicuro e ricevere ricompense ricorrenti per i tuoi contenuti!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione 4 min di lettura Ultime Minacce CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione by Veronika Telychko
Tutte le notizie