Detectar META Information Stealer
Índice:
Um novo info-stealer malware segue os passos de Mars Stealer e BlackGuard. O malware está disponível por $125 por mês ou $1,000 por uma assinatura vitalícia. Nos mercados da dark web, META Stealer é anunciado como uma atualização do RedLine Stealer, que foi revelado pela primeira vez em 2020.
Detecção de META Information Stealer
Para proteger a infraestrutura da sua empresa de possíveis ataques do META Stealer, você pode baixar uma regra Sigma desenvolvida pelo nosso experiente desenvolvedor de Threat Bounty Kaan Yeniyol, que nunca perde uma dica.
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro e Securonix.
A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Modificar Registro como a técnica principal (T1112).
SOC Prime insta os profissionais de segurança a se unirem contra ataques cibernéticos apoiados pela Rússia que acompanham a agressão militar contra a Ucrânia. O módulo Quick Hunt da SOC Prime permite uma busca web eficiente por meio de uma extensa coleção de conteúdo de caça a ameaças associada à agressão russa com as seguintes etiquetas #stopwar, #stoprussian, e #stoprussianagression. As consultas dedicadas de caça a ameaças estão disponíveis para buscar as ameaças acima mencionadas GRATUITAMENTE através do link abaixo:
Coleção completa de conteúdo de caça para detectar ameaças originadas na Rússia
Ansioso para se conectar com líderes da indústria e desenvolver seu próprio conteúdo? Junte-se à iniciativa de crowdsourcing da SOC Prime como um contribuidor de conteúdo e compartilhe suas próprias regras Sigma e YARA com a comunidade global de cibersegurança enquanto constrói uma defesa cibernética colaborativa em todo o mundo.
Visualizar Detecções Junte-se ao Threat Bounty
Análise do META Information Stealer
Um novo tipo de malware info-stealer foi documentado pelo pesquisador de segurança e ISC Handler Brad Duncan no início de abril. META Stealer está ganhando ritmo, conquistando popularidade entre hackers que estão atrás de informações sensíveis dos usuários. De acordo com a pesquisa detalhada de Duncan, os adversários implantam o META information stealer para obter senhas armazenadas em navegadores da web como Firefox, Chrome e Edge, assim como quebrar carteiras de criptomoedas. A primeira etapa da cadeia de eliminação é caracterizada pela distribuição de uma planilha do Excel carregada de macros por meio de e-mails de phishing. A isca é construída em cima de uma transferência de fundos falsa, instigando as vítimas a abrir um anexo de e-mail infectado. Se todos os passos requeridos forem seguidos, a macro VBS é ativada em segundo plano. Em seguida, ocorre o download de cargas maliciosas, incluindo DLLs e executáveis de vários domínios confiáveis.
Mesmo após a reinicialização do sistema, o arquivo EXE se comunica com um servidor de comando e controle em 193.106.191[.]162. O processo sinaliza a persistência do malware, retomando o processo de infecção na máquina comprometida.
Os profissionais de segurança devem considerar que o META information stealer modifica o Windows Defender via PowerShell para excluir arquivos .exe da verificação, evitando assim a detecção. Para enfrentar eficientemente malware furtivo, una-se ao SOC Prime’s Detection as Code platform. A plataforma permite um avanço rápido e eficiente das suas capacidades de detecção de ameaças, impulsionadas pelo poder da expertise global em cibersegurança. Procurando maneiras de contribuir com seu próprio conteúdo de detecção e impulsionar a defesa cibernética colaborativa? Junte-se à iniciativa de crowdsourcing da SOC Prime para compartilhar suas regras Sigma e YARA com a comunidade, contribuir para um ciberespaço mais seguro e receber recompensas recorrentes por seu conteúdo!
