METAはじめました

ほぼこもセキュリティニュース By Terilogy Worx

METAはインフォスティーラーです。
こんな感じです。

  • パスワードや暗号通貨ウォレットを盗む
    Chrome、Edge、Firefoxに保存されているパスワードや暗号通貨ウォレットを盗みます。
  • RedLine Stealerの新型として売り出されている
  • 使用許諾形式
    このツールは、月額購読者の場合は125ドル、生涯無制限の使用の場合は1,000ドルで販売されています。
  • 感染経路
    感染はスパムメールに添付されたExcelワークシートから始まります。
  • Excelのマクロで感染する
    開かせたExcelにはマクロがついています。
    マクロの実行のために、巧妙にボタンを押させるように作られています。
    マクロの実行が開始されると次々に処理が実施されていき、最終的にはMETAが実行されます。
  • ファイルレスではない
    普通のexeファイルとして感染端末上に置かれます。
    永続化もされます。
  • Windows Defenderの無効化
    感染処理のなかでPowerShell scriptによる環境変更も実行されます。
    そのなかでexe拡張子のファイルをWindows Defenderのスキャン対象から除外する設定が加えられます。
    これによってMETAはWindows Defenderで検出されなくなります。

Raccoon StealerというMaaSモデルで展開しているマルウェアがありました。
この犯罪グループはコア開発者の一人がウクライナの侵攻の関係で殺害されたため活動を停止しています。
これを使用していた犯罪者は他のRaaSに引っ越しを考えます。
そういったタイミングの関係か、このMETAは活動が多く観測されるようになってきています。

METAにはこれといった技術的な特徴はないように思えます。
しかし他の乗り換え先に比較すると利用のために必要となる費用が安いという特徴がありそうです。
マルウェアを使った活動が営利目的である場合、経費を抑えることは重要ということでしょうか。

参考記事(外部リンク):New Meta information stealer distributed in malspam campaign
www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。