Une campagne de malspam a été découverte distribuant le nouveau malware META, un nouveau malware voleur d'informations qui est présenté comme une version améliorée de RedLine.

Cette campagne de spam vue par Brad Duncan, chercheur en sécurité et manipulateur ISC, prouve que META est activement utilisé dans les attaques, étant déployé pour voler les mots de passe stockés dans Chrome, Edge et Firefox, ainsi que les portefeuilles de crypto-monnaies.

La chaîne d'infection de cette campagne particulière suit l'approche "standard" d'une feuille de calcul Excel contenant une macro et arrivant dans les boîtes de réception des victimes potentielles sous forme de pièces jointes.

Les messages présentent de fausses demandes de transfert de fonds qui ne sont pas particulièrement convaincantes ou bien conçues, mais qui peuvent néanmoins être efficaces contre un pourcentage significatif de destinataires.

Les fichiers de la feuille de calcul contiennent un leurre DocuSign qui invite la cible à "activer le contenu" nécessaire à l'exécution de la macro VBS malveillante en arrière-plan.

Lorsque le script malveillant s'exécute, il télécharge diverses charges utiles, notamment des DLL et des exécutables, à partir de plusieurs sites, tels que GitHub.

Certains des fichiers téléchargés sont codés en base64 ou ont leurs octets inversés pour contourner la détection par les logiciels de sécurité.

Finalement, la charge utile finale est assemblée sur la machine sous le nom "qwveqwveqw.exe", qui est probablement aléatoire, et une nouvelle clé de registre est ajoutée pour la persistance.

Un signe clair et persistant de l'infection est le fichier EXE qui génère du trafic vers un serveur de commande et de contrôle à l'adresse 193.106.191[.]162, même après le redémarrage du système, ce qui relance le processus d'infection sur la machine compromise.

Il convient de noter que META modifie Windows Defender via PowerShell pour exclure les fichiers .exe de l'analyse, afin de protéger ses fichiers de la détection.