GETOVERX FORUM Community Support   ›   Malware Docs   ›   Stealers   ›   Meta Stealer – Infostealer – 2022[/b]

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Meta Stealer – Infostealer – 2022[/b]
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
12-05-2025, 05:08 PM
Nombre:
Meta Stealer (MetaStealer, META)
Categoría:
Infostealer (derivado de RedLine, robo de credenciales y wallets)
Fecha de descubrimiento:
Marzo de 2022
Comportamiento (lo que hace y archivos que infecta):
  • Diseñado como evolución de RedLine: mismo tipo de robo de información, con mejoras en cifrado y exfiltración.
  • Roba credenciales de navegadores, cookies, autofill, wallets de criptomonedas, extensiones de navegador y cuentas de Steam u otras aplicaciones.
  • En campañas recientes, se ha distribuido a través de:
    • Malspam.
    • Instaladores falsos de programas (por ejemplo AnyDesk u otros).
    • Paquetes asociados a software crackeado y utilidades “gratis” para Windows.
Persistencia:
  • Uso de instaladores MSI que copian el payload en rutas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    ).
  • Creación de tareas programadas y claves de inicio automático en el registro.
  • Suele ofuscar cadenas y rutas a C2 para evadir firmas basadas en texto plano.
Hash real de referencia (SHA-256):
Ejemplo de muestra pública (MetaStealer):

Code:
dd4db8e858f1bfbdb7a384e16d5da0ee97537d281c7e6d20c4f323d5ebfbc9c7
Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    • Analizar archivos MSI y ejecutables descargados desde páginas de “descargas gratuitas”, cracks o clones falsos de sitios legítimos.
    • Configurar reglas de exclusión mínima: no excluir carpetas de descargas ni de proyectos donde los usuarios suelan ejecutar binarios desconocidos.
    • Registrar y bloquear hashes detectados de Meta Stealer para evitar reinfecciones.
  • Firewall:
    • Monitorizar conexiones salientes a dominios desconocidos relacionados con campañas de Meta (si se disponen de IOCs).
    • Restringir que aplicaciones instaladas fuera de
      Code:
      Program Files
      establezcan conexiones directas al exterior sin supervisión.
  • HIPS/EDR:
    • Detectar comportamientos de enumeración masiva de credenciales en navegadores y aplicaciones de escritorio.
    • Configurar política de respuesta automática para:
      • Matar el proceso sospechoso.
      • Bloquear el hash.
      • Registrar el árbol de procesos completo para investigación (quién lanzó el crack, qué ejecutable lo inició, etc.).
  • Sandbox:
    • Ejecutar en Sandbox todo instalador “gratuito” que prometa funciones premium de software de pago.
    • Revisar si el binario contacta a dominios aleatorios y descarga payloads secundarios: si ocurre, marcar el crack como malicioso y no usarlo en producción.
  • Medidas posteriores al incidente:
    • Rotar credenciales de cuentas comprometidas y revocar tokens de sesión.
    • Revisar equipos vecinos en la red por posible movimiento lateral.
    • Educar a usuarios sobre el riesgo específico de descargar “clientes modificados”, cracks o herramientas administrativas no oficiales.
4) Lumma Stealer
Título sugerido del tema:
Lumma Stealer – Infostealer – 2022
Nombre:
Lumma Stealer (LummaC2, Lumma Stealer MaaS)
Categoría:
Infostealer (creds, cookies, wallets, datos del sistema)
Fecha de descubrimiento:
Alrededor de 2022
Comportamiento (lo que hace y archivos que infecta):
  • Ofrecido como Malware-as-a-Service (MaaS) en foros criminales.
  • Distribuido en campañas que abusan de cracks de software, malvertising y sitios falsos de descargas.
  • Roba credenciales, cookies, datos de autofill, wallets, información de apps de mensajería y datos del sistema.
  • Algunas campañas usan archivos LNK/PDF falsos u overlays de CAPTCHA para engañar al usuario y ejecutar scripts de PowerShell.
Persistencia:
  • Instalación del binario en rutas de usuario con nombres engañosos.
  • Verificaciones anti-VM y anti-sandbox para evadir análisis.
  • Registro de tareas programadas en algunos casos y uso de cifrado para su configuración.
Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Lumma Stealer):

Code:
2e59bd7db699a8a7063c44ad2da160316941bef24b18654eae8de5fc97cabb57
Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    • Escanear ejecutables descargados desde páginas que ofrezcan licencias “gratis” de software de pago (Adobe, IDM, etc.).
    • Activar inspección profunda sobre scripts (PowerShell, cmd) lanzados por instaladores recién descargados.
    • Mantener actualizadas las firmas específicas de stealer modernos (Lumma, Meta, AMOS, etc.).
  • Firewall:
    • Bloquear conexiones HTTP/HTTPS hacia infraestructura conocida de Lumma cuando sea posible (usando IOCs).
    • En el incidente, restringir todo el tráfico saliente del host afectado excepto hacia el servidor de gestión y actualizaciones de seguridad.
  • HIPS/EDR:
    • Crear reglas para detectar:
      • Ejecución de PowerShell con cadenas ofuscadas.
      • Acceso a múltiples perfiles de navegador en un corto intervalo de tiempo.
    • Configurar acciones automáticas para suspender o matar procesos que cumplan ambos criterios (script + acceso masivo a datos).
  • Sandbox:
    • Probar instaladores y cracks sospechosos en una Sandbox Windows antes de permitir que el usuario los use.
    • Si la Sandbox muestra que el instalador lanza PowerShell con comandos descargados desde Internet, marcarlo como malware y bloquearlo.
  • Medidas posteriores al incidente:
    • Cambiar credenciales y regenerar claves de API asociadas a las cuentas comprometidas.
    • Revisar las máquinas donde se haya instalado software crackeado durante el período de actividad conocido de la campaña.
    • Reforzar políticas que prohíban cracks incluyendo sanciones internas, si aplica.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)