Nonostante l’omonimia
Meta non è l’azienda guidata da Mark Zuckerberg, ma uno dei tanti malware che hanno sostituito il noto Raccoon Stealer. Per l’esattezza si tratta di un “info-stealer”, pubblicizzato e venduto nel dark web come versione migliorata di Redline, che permette di rubare le password memorizzate in Chrome, Edge e Firefox, oltre che gli indirizzi dei portafogli di criptovalute.
Meta distribuito tramite email
Le attività del gruppo che sviluppava Raccoon Stealer sono state sospese a fine marzo, in seguito all’invasione dell’Ucraina da parte dei russi. Il posto è stato subito occupato da altri malware, tra cui BlackGuard e appunto Meta. Quest’ultimo, simile a Redline, viene venduto in abbonamento a 125 dollari al mese o senza abbonamento a 1.000 dollari.
Il funzionamento è quello tradizionale di un malware progettato per rubare informazioni dal computer della vittima. La catena di infezione prevede innanzitutto una campagna di malspam per inviare email con allegati infetti (fogli Excel in questo caso). Il messaggio invita l’utente ad aprire il file per leggere le informazioni su un presunto trasferimento di denaro. Dopo aver attivato il contenuto viene eseguita una macro che scarica da diversi siti i componenti del malware.
Viene anche aggiunta una chiave nel registro per l’esecuzione automatica ad ogni riavvio del computer. Alcuni file sono cifrati per eludere i software di sicurezza. Viene inoltre modificata la lista esclusioni di Windows Defender per evitare la scansione dei file eseguibili. I consigli sono sempre gli stessi: non aprire allegati provenienti da mittenti sospetti e utilizzare un antivirus che blocca le email infette.
