Hvad er MrAnon Stealer, og påvirker det din computer?
MrAnon Stealer er en potent informationsstjælende malware, der for nylig er dukket op som en trussel i cybersikkerhedslandskabet. Denne ondsindede software distribueres gennem en phishing-kampagne, der anvender PDF-lokker med et tilsyneladende harmløst bookingtema. Fortinet FortiGuard Labs-forsker Cara Lin har kastet lys over MrAnon Stealers virkemåde og beskriver det som en Python-baseret malware komprimeret med cx-Freeze for at undgå nem opdagelse.
Table of Contents
PDF lokker og Hotel Booking Ruse
Den primære funktionalitet af MrAnon Stealer drejer sig om at stjæle følsomme oplysninger fra ofrene. Dette inkluderer legitimationsoplysninger, systemdata, browsersessioner og endda data relateret til cryptocurrency-udvidelser. Navnlig involverer malwarens unddragelsestaktik, at man forklæder sig som en legitim virksomhed, der søger at booke hotelværelser. Phishing-e-mailen indeholder en PDF-fil, og når den åbnes, bliver modtageren bedt om at downloade, hvad der ser ud til at være en opdateret version af Adobe Flash.
Python-baseret malware med undvigelsesteknikker
Efter at have downloadet denne tilsyneladende harmløse fil, begynder infektionsprocessen. MrAnon Stealer anvender .NET-eksekverbare og PowerShell-scripts til at udføre et ondsindet Python-script. Dette script er i stand til at indsamle data fra forskellige applikationer og efterfølgende eksfiltrere det til både et offentligt fildelingswebsted og trusselsaktørens Telegram-kanal. Derudover demonstrerer malwaren evnen til at fange information fra instant messaging-applikationer, VPN-klienter og filer, der matcher en foruddefineret liste over udvidelser.
Det geografiske fokus for denne kampagne ser ud til at være Tyskland, baseret på beviser, der indikerer et stort antal forespørgsler til downloaderens URL, der hoster nyttelasten fra november 2023. Angriberne har valgt en smart tilgang ved at skjule deres aktiviteter under dække af en hotelbooking virksomhed, hvilket gør deres phishing-e-mails mere overbevisende.
Desuden er MrAnon Stealer ikke kun et værktøj for cyberkriminelle; den kan købes af andre ondsindede aktører. Forfatterne tilbyder det til en pris på $500 pr. måned (eller $750 for to måneder), sammen med yderligere tjenester såsom en crypter til $250 pr. måned og en snigende loader, også prissat til $250 pr. måned.
Dette trusselslandskab afslører et strategisk skift i angribernes taktik, da Lin bemærker en overgang fra at distribuere Cstealer i juli og august til MrAnon Stealer i oktober og november. Mønsteret antyder en bevidst og udviklende tilgang, der involverer kontinuerlig brug af phishing-e-mails til at udbrede forskellige Python-baserede stjælere.
Imperativet for robuste cybersikkerhedsforanstaltninger
Denne afsløring kommer i sammenhæng med det bredere cybersikkerhedslandskab, hvor trusselsaktører som den Kina-tilknyttede Mustang Panda er blevet impliceret i spyd-phishing-kampagner. I dette tilfælde er målet den taiwanske regering og diplomater, med den hensigt at implementere SmugX, en ny variant af PlugX-bagdøren. Den udviklende karakter af disse trusler understreger det igangværende behov for robuste cybersikkerhedsforanstaltninger for at sikre mod sofistikerede angreb, såsom brugen af et anti-malware-værktøj til at forhindre sådanne angreb.
