O MetaStealer, um malware popular que surgiu em 2022, baseando-se em códigos anteriores do RedLine, tornou-se uma mercadoria muito valiosa no espaço criminal, a ponto de haver competição entre vários grupos.

Os atores de ameaças têm usado principalmente malspam como vetor de infecção para distribuir o MetaStealer, bem como software crackeado por meio de contas do YouTube roubadas, mas ele também foi visto em uma campanha de malvertising.

Na semana passada, foram observados alguns anúncios maliciosos que não estavam distribuindo FakeBat ou PikaBot, mas sim um payload diferente, reconhecido como MetaStealer. Em dezembro, os autores do malware deram uma entrevista anunciando o lançamento de uma nova versão aprimorada de sua ferramenta. Na distribuição, foram capturados dois anúncios diferentes para Notepad++ e AnyDesk via pesquisas no Google.

Dois domínios foram configurados como páginas de isca e de destino. Se alguém navegasse diretamente para esses sites, veria conteúdo que parece ter sido gerado automaticamente, mas os usuários que clicaram nos anúncios e atenderam aos critérios de seleção receberam uma página de destino maliciosa e um link para download. Os desenvolvedores do MetaStealer estão aprimorando seu produto, e é provável que vejamos mais de seus clientes distribuindo-o.

Os stealers podem servir a vários propósitos, mas tendem a girar em torno de itens que os criminosos podem monetizar facilmente, como carteiras de criptomoedas e credenciais para vários serviços online. Além disso, os stealers também podem ser usados por corretores de acesso inicial, abrindo caminho para atores de ransomware.