En analyse af Meduza stealer

2024-04-19

Meduza stealer er en voksende trussel og er set i anvendelse i spear phishing angreb mod mål i Danmark over det seneste halve år.

Hvad er Meduza stealer?
Meduza stealer er, som navnet antyder en malware, der hvis køres på en Microsoft Windows maskine, systematisk vil høste/stjæle data og sende det til personen der har bygget den skadelige kode. Builderen er skrevet i C++ og den skadelige kode fylder omkring 600KB når den kompileres og stilles til rådighed for den it-kriminelle.

Populær blandt it-kriminelle og endda blandt statssponsorerede grupper
Denne datatyv sælges fra flere populære undergrundsfora, hvor mange it-kriminelle løbende sælger forskellige værktøjer i samme kategori. Det omfatter bl.a. xss.is og exploit.in. Den er en konkurrent til f.eks. Azrult, Redline, Racoon og Vidar Stealer. Der er som en hurtig note flere kode og funktionsligheder mellem Meduza og den nu usupporterede Aurora stealer. Meduza blev første gang lanceret i Juni 2023.

Angreb mod mål i vesten med Meduza Stealer
Meduza Stealer har været misbrugt i omfattende cyberangreb mod mål i Ukraine og Polen som også er dokumenteret af CERT-UA: https://cert.gov.ua/article/6276652

Meduza sælges som et komplet Crime as a Service (CaaS) værktøj og med forskellige licensmodeller:

1 month - 199💲
3 month - 399💲
LifeTime - 1199💲

Udvikleren, som sælger denne malware pakke, garanterer at Meduza Stealer kan køre på følgende Windows OS:

- Windows server 2022
- Windows server 2019
- Windows server 2016
- Windows server 2012
- Windows 10
- Windows 11

Automatisk data eksfiltration fra Meduza omfatter:
- 106 browsere
- 107 kryptovaluta wallets
- Alle filendelser via FileGrabber modulet
- Telegram IM
- Steam
- Discord
- 27 password managers
- OpenVPN
- Outlook
- Google Tokens

Meduza version 2.4
Den seneste version af Meduza Stealer er 2.4 og blev frigivet med en stribe nye funktioner for lidt mindre end en måned siden. Af de nyeste tilføjelser finder vi bl.a.:
- Mutex (for at sikre at kun et eksemplar af den skadelige kode kører i hukommelsen på samme tid)
- Kommunikation mellem C&C og klient/endpoint er blevet logisk
- Indsamling af cryptocurrency-udvidelser og browserdata er blevet optimeret
- Optimering af allokering og sletning af hukommelse i heapen
- Et optimeret scriptet, der gendanner Google-tokens

C&C og login panel

En aktiv C&C server kan findes på (saniteret)
https://krezify.softether[.]net/auth/login/

Her kræves naturligvis et brugernavn og password, som med alle andre CaaS, da der med denne adgang gives mulighed for at overtage de inficerede maskiner, eller udtrække det data som er blevet indsamlet.

Fra Meduza panelet kan man bygge forskellige "pakker" af den skadelige kode med forskellige kampagne IDs og samtidig have komplet oversigt over de indsamlede data og klienter/endpoints. Herunder ses builderen:

Og herunder kan man se et eksempel på dashboardet som giver let adgang til høstet data og kompromitterede maskiner:

Meduza cryptor og AV testing
Der kan tilkøbes en særlig Meduza cryptor, der kan anvendes til at obfuskere den binære pakke, så antivirus detektion bliver lavere.

Der tilbydes løbende AV tests via multiple AV scanningservices som f.eks.: avcheck.net og antiscam.me. Det er grundlæggende bare kloner af Virustotal, men ureguleret, og hvor samples der uploades for scanning IKKE deles med f.eks. AV leverandører.

Spear phishing mod mål i Holland og Belgien
Meduza har været misbrugt i målrettede angreb mod Holland. Det er sket via e-mail på Hollansk og vedhæftede zip arkiver som ringer hjem til forskellige C&Cs der afslører, at det er geospecifikt angreb:

https://online-geld-ontvangst[.]icu
https://ontvangst-online[.]icu
https://veilige-omgeving[.]icu

Øvrige Medusa IoCs og diagram:
https://159.253.120[.]145
https://94.156.67[.]22
https://krezify.softether[.]net
https://supportninja[.]top
https://it12.nosuhiyan[.]site
https://funtechco[.]top
https://it13.intelvpn[.]site
https://xdq20[.]top
https://mozg55[.]com
https://prex20.olinatok[.]is
https://it45.intelvpn[.]site
https://mahdi.intelvpn[.]site
https://hodin.iranneda[.]cfd
https://rufus.mygrayco[.]com
https://obsproject.viatorfabula[.]com
https://ssh1.rezamoody[.]online
https://bmo-canada-secure-onlinealert[.]com
https://overeenkomstenonline[.]icu
https://safe-service[.]icu

Virustotal diagram for C&Cs på: 159.253.120[.]145 og 94.156.67[.]22 afslører et større omfang af domæner anvendt til at indsamle og kontrollere inficerede maskiner:

Meduza har endda en film der beskriver baggrund for navnet og deres motiv for at skabe endnu en datatyv/stealer:
https://x.com/g0njxa/status/1676361021999513602