Cyberthreat.id – Peneliti keamaan dari ISC Handler menemukan malware pencuri informasi Meta terbaru dalam kampanye malspam.

Malspam atau malicious spam, merupakan salah satu kampanye yang dilakukan dengan mengirimkan email dalam jumlah besar. Email ini berisi dokumen atau tautan terinfeksi yang mengarahkan pengguna ke situs web yang berisi Kit Eksploitasi.

Dikutip dari Bleeping Computer, peneliti bernama Brad Duncan menemukan kampanye malspam yang mendistribusikan malware META baru, salah satu pencuri informasi. Malware ini muncul bersamaan dengan Mars Stealer dan BlackGuard tepat setelah Raccoon Stealer menghentikan operasinya.

Sebelumnya Bleeping Computer pertama melaporkan tentang META, ketika analis di KELA memperingatkan tentang malware ini yang mulai masuk pasar botnet TwoEasy. Malware ini dijual dengan harga US$125 untuk pelanggan bulanan atau US$1.000 untuk penggunaan seumur hidup tanpa batas dan dipromosikan sebagai versi perbaikan dari RedLine.

Duncan mengatakan bahwa META secara aktif digunakan dalam serangan, digunakan untuk mencuri kata sandi yang disimpan di Chrome, Edge, dan Firefox, serta dompet cryptocurrency. Rantai infeksi dalam kampanye ini mengikuti pendekatan "standar" dari spreadsheet Excel berlapis makro yang tiba di kotak masuk calon korban sebagai lampiran email.

“Pesan tersebut membuat klaim palsu tentang transfer dana yang tidak terlalu meyakinkan atau dibuat dengan baik tetapi masih bisa efektif terhadap persentase penerima yang signifikan,” kata Duncan.

Ia menjelaskan, file spreadsheet akan menampilkan umpan DocuSign yang mendesak target untuk “mengaktifkan konten” yang diperlukan untuk menjalankan makro VBS berbahaya di latar belakang. Ketika skrip berbahaya ini bekerja, akan mengunduh berbagai muatan, termasuk DLL dan yang dapat dieksekusi, dari beberapa situs, seperti GitHub.

Beberapa file yang diunduh dikodekan base64 atau byte-nya dibalik untuk melewati deteksi oleh perangkat lunak keamanan.

“Akhirnya, muatan akhir dirakit pada mesin dengan nama "qwveqwveqw.exe," yang kemungkinan acak, dan kunci registri baru ditambahkan untuk mempertahankan keberadaan mereka,” kata dia.

Ia menambahkan, tanda infeksi yang jelas dan terus-menerus adalah file EXE yang menghasilkan lalu lintas ke server perintah dan kontrol di 193.106.191[.]162. Bahkan setelah sistem di-boot ulang, memulai kembali proses infeksi pada mesin yang disusupi.

Satu hal yang perlu diperhatikan adalah bahwa META memodifikasi Windows Defender melalui PowerShell untuk mengecualikan file .exe dari pemindaian, untuk melindungi file dari deteksi.[]

Editor: Yuswardi A. Suud