انتشار جاسوس‌افزار Meta از طریق فایل‌های Excel

مهاجمان در حال انتشار جاسوس‌افزار جدیدی با نام Meta، از طریق ایمیل‌های «فیشینگ» هستند.

Meta از جدیدترین بدافزارهای سارق اطلاعات است. این جاسوس‌افزار، امکان استخراج گذرواژه‌های ذخیره شده در مرورگرها و کیف‌های رمزارز را برای مهاجمان فراهم می‌کند. برخی منابع، معتقدند Meta نیز همچون Mars Stealer و BlackGuard در حال پر کردن جای خالی Racoon Stealer است که کمتر از یک ماه قبل از بازار خارج شد.

اشتراک ماهانه Meta، مبلغ 125 دلار و اشتراک نامحدود آن یک هزار دلار است.

بر اساس گزارشی که مؤسسه SANS آن را منتشر کرده طی دو هفته اخیر، حداقل 16 فایل Excel مرتبط با Meta به وب‌سایت VirusTotal ارسال شده است.

فایل‌های مذکور، حاوی ماکرویی هستند که از طریق سامانه‌های معتبر GitHub و transfer.sh فایل‌های اجرایی Meta را بر روی دستگاه قربانی دریافت و در نهایت اجرا می‌کنند.

به گفته SANS فایل Excel آلوده از طریق ایمیل‌های فیشینگ که نمونه‌ای از آن در تصویر زیر قابل مشاهده است به دستگاه قربانیان راه پیدا می‌کنند.

محتوای Excel نیز به‌نحوی طراحی شده که کاربر متقاعد به بی‌اثر کردن سازوکارهای پیش‌فرض MS Office در محدودسازی اجرای ماکرو شود.

به‌منظور دور زدن ضدویروس قربانی، فایل‌های دریافت شده از GitHub و transfer.sh با الگوریتم base64 کدگذاری شده‌اند. Bleeping Computer نیز گزارش کرده Meta از طریق پروسه معتبر PowerShell اقدام به مستثنی کردن اسکن فایل‌های EXE توسط Windows Defender می‌کند.

بر طبق گزارش سالانه شرکت Proofpoint که 3 اسفند 1400 منتشر شد بیش از 80 درصد از سازمان‌ها، حداقل یک حمله موفق فیشینگ را در سال 2021 تجربه کردند که در مقایسه با سال قبل از آن افزایشی حدود 46 درصد را نشان می‌دهد.

آگاهی بخشی به کارکنان نقشی کلیدی در ایمن ماندن سازمان از گزند این نوع تهدیدات دارد. اگر از راهبران و مسئولان امنیت سازمانتان هستید، ما به شما محصول «آروید» را پیشنهاد می‌کنیم. آروید، با شبیه‌سازی تهدیدات مبتنی بر ایمیل، برگزاری خودکار دوره‌های آموزشی و گزارش‌دهی جامع از میزان آمادگی کارکنان در مقابله با این تهدیدات، راهکاری مطمئن برای ایمن نگاه داشتن کاربران – و در نتیجه سازمان – است. کارشناسان شرکت رامونا پردازش نگار از طریق شماره ۹۱۰۳۱۹۷۳ ۰۲۱ آماده ارائه جزییات بیشتر هستند.

نشانه آلودگی

هش SHA-1 نمونه‌های Meta و فایل‌های مخرب مرتبط که در این مطلب به آنها پرداخته شد به شرح زیر است:

e145f985ff965cb94d74de8d0e068a63044705e1
42a5768e490d89761c214c4cea4c07de65689615
a8572decb6cc64ecbb33b6736d1d91c34fd5f16e
393e81a3d525e8b582355d855d2c367047e4e0b0
5999138d62a0b94f65ee7e199058f758a4f05f5f
de27feaf9d5ab451737c1daaf8ea49da5ceec2c7
be82ad6a6c536ef36ace526e65974fbc05dafd7f
33530efd5c4705c52742ec3bad583aa2724d2b64
94143d6470da270fc2a623c264ea1b939fa0ad58