El nuevo infostealer Meta mantiene campañas activas en Chile

05 Julio 2022
Alto

 

 

Durante el año 2022 se han identificado diferentes movimientos en el sector de los malwares infostealers, ya sea bajando operaciones existente como Racoon, manteniendo, expandiendo o renovando algunas como REDLINE y sumado nuevos actores como Meta Stealer que han posicionado y direccionado al panorama de Chile, pudiendo identificar día a día nuevos dataleaks que comprometen organizaciones locales y que posteriormente son vendidos en foros de Dark Market de forma pública y anónima.

 

 

Meta Stealer

El malware infostealer llamado Meta, ha sido Identificado por primera vez en marzo de 2022, sin embargo, no ha sido hasta finales del mes de mayo donde se han visto las primeras afectaciones en Chile.

No se conoce a ciencia cierta si se encuentra vinculado a otras operaciones, sin embargo, la aparición de este infostealer recae precisamente luego de que Racoon ha sido dado de baja, por lo que tal como se ha mencionado en diferentes fuentes de información, aparentemente estaría aprovechando este vacío que dejó Racoon en los mercados underground.

Este infostealer tiene características similares a sus pares, pero se autodenomina como una versión mejorada del conocido REDLINE ya que además de las clásicas sustracciones de credenciales de navegadores y servicios del sistema, es capaz de obtener acceso a billeteras de criptomonedas instaladas en el equipo o como extensión en navegadores, siendo este un mercado que se ha convertido en un nicho de ataque bastante lucrativo debido a su escasa regulación.

 

Phishing como vector de ataque

El método de afectación de este malware es bastante común y se realiza principalmente mediante campañas de phishing con temática sobre transacciones bancarias que solicitan la descarga de un documento en excel firmado por “DocuSign” que posteriormente ejecuta macros para implantar cargas útiles como DLL y ejecutables .exe, siendo esta última una extensión excluida de escaneos de Windows Defender mediante instrucciones powershell detallada a continuación.

  • powershell -inputformat none -outputformat none –NonInteractive -Command Add-MpPreference -ExclusionExtension "exe"

 

Cadena de ejecución Metastealer

 

Las campañas de este malware no son precisamente creíbles para ojos experimentados, ya que presenta varias características sospechosas como una cuenta de correo sin nombre, envío de transacciones no esperadas por entes desconocidos, solicitar descarga de documento .xls con contraseña y un texto alarmista para que el usuario actúe a la brevedad.

Pese a todos estos elementos sospechosos y de acuerdo a las filtraciones observadas, este malware tiene un gran porcentaje de éxito a nivel global y en Chile a pesar de que aún se encuentra en vías de crecimiento.

 

Muestra de phishing enviado por Metastealer

 

Obtención y costos

Este infostealer, al igual que sus pares lucra con la venta de la información sustraída y no precisamente con la explotación de las credenciales obtenidas, por lo que ofrece membresías para que sus interesados puedan obtener información de las sustracciones de primera fuente, brindando acceso a un panel de control en donde se gestionan y visualiza la información obtenida por la botnet.

De acuerdo con las características ofrecidas por el bot de Telegram, para acceder al servicio, se identifican suscripciones mensuales y de por vida con un valor de 125 USD y 1.000 USD respectivamente como se exhibe a continuación.

 

Valores de suscripción al infostealer

 

Origen

En base a información obtenida por investigadores, se ha detectado que sus operadores son posiblemente de origen ruso, ya que dentro del código del malware se encuentran reglas explícitas para no actuar sobre equipos reconocidos que se encuentran en Rusia y la región, como:

  • Azerbaiyán
  • Bielorrusia
  • Kazajstán
  • Kirguistán
  • Moldavia
  • Tayikistán 
  • Uzbekistán
  • Ucrania

 

Regiones omitidas para ejecución de Metastealer

 

En base a la actividad de este Malware como servicio y las funciones similares a sus pares, sólo es destacable la renovación de los objetivos y puntos de interés sustraídos de las víctimas, que permiten monetizar sus ataques en aún mayor medida como los son las criptomonedas, sin embargo, sus TTP’s tienen gran similitud a los ya existentes por lo que más allá de ser un nuevo malware con técnicas novedosas, es solo una variante con mejores capacidades, por lo que las formas de detección y bloqueo resultan ser las mismas que para otros infostealers como REDLINE.

En cuanto a su proyección y desarrollo, es esperable que continúe sumando aún más víctimas dentro del territorio nacional y latinoamericano por lo que es imperante mantener especial atención en los ataques phishing o ingeniería social y contar con mecanismos de bloqueo e identificación útiles para este y otros malware de la misma índole.

En base a sus TTP’s es complejo que estos sean modificados para una operación ya en curso, por lo que el factor más probable de cambios sea referente al tipo y sofisticación del correo phishing recibido por las víctimas, que lo podría volver más creíble y obtener un mayor porcentaje de éxito.

En cuanto al origen del malware es esperable que este perdure en el tiempo tal como lo han hecho otros Infostealers ya que es conocido que, desde Rusia y territorios aledaños, no existe gran persecución para este tipo de actores maliciosos.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • De identificar filtraciones es imperante tomar contacto con los usuarios identificados para gestionar la limpieza y eliminación del malware desde su equipo a la brevedad.
  • De identificar filtraciones es imperante formatear el equipo afectado en su totalidad para eradicar la amenaza.
  • Es importante conocer si el usuario afectado corresponde a un proveedor conocido y si cuenta con un equipo organizacional o con equipo propio para que cada uno según corresponda, actúe de acuerdo con sus protocolos de contención de amenazas.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Infostealer #Meta #Malware #Metastealer #Phishing #Rusia


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.