Was ist MrAnon Stealer und wirkt es sich auf Ihren Computer aus?
MrAnon Stealer ist eine leistungsstarke Schadsoftware zum Diebstahl von Informationen, die sich in letzter Zeit als Bedrohung für die Cybersicherheitslandschaft herausgestellt hat. Diese Schadsoftware wird über eine Phishing-Kampagne verbreitet, die PDF-Köder mit einem scheinbar harmlosen Buchungsthema verwendet. Fortinet FortiGuard Labs-Forscherin Cara Lin hat die Funktionsweise von MrAnon Stealer beleuchtet und ihn als eine Python-basierte Malware beschrieben, die mit cx-Freeze komprimiert wurde, um eine einfache Erkennung zu vermeiden.
Table of Contents
PDF-Köder und der Hotelbuchungstrick
Die Hauptfunktion von MrAnon Stealer besteht darin, sensible Informationen von seinen Opfern zu stehlen. Dazu gehören Anmeldeinformationen, Systemdaten, Browsersitzungen und sogar Daten im Zusammenhang mit Kryptowährungserweiterungen. Die Umgehungstaktik der Malware besteht insbesondere darin, sich als seriöses Unternehmen auszugeben, das Hotelzimmer buchen möchte. Die Phishing-E-Mail enthält eine PDF-Datei und beim Öffnen wird der Empfänger aufgefordert, eine scheinbar aktualisierte Version von Adobe Flash herunterzuladen.
Python-basierte Malware mit Umgehungstechniken
Beim Herunterladen dieser scheinbar harmlosen Datei beginnt der Infektionsprozess. MrAnon Stealer verwendet ausführbare .NET-Dateien und PowerShell-Skripte, um ein bösartiges Python-Skript auszuführen. Dieses Skript ist in der Lage, Daten aus verschiedenen Anwendungen zu sammeln und diese anschließend sowohl an eine öffentliche Filesharing-Website als auch an den Telegram-Kanal des Bedrohungsakteurs zu exfiltrieren. Darüber hinaus demonstriert die Malware die Fähigkeit, Informationen von Instant-Messaging-Anwendungen, VPN-Clients und Dateien zu erfassen, die einer vordefinierten Liste von Erweiterungen entsprechen.
Der geografische Schwerpunkt dieser Kampagne scheint Deutschland zu sein, da Beweise dafür vorliegen, dass ab November 2023 eine hohe Anzahl von Anfragen an die Downloader-URL gesendet wurde, die die Nutzlast hostet. Die Angreifer haben einen cleveren Ansatz gewählt, indem sie ihre Aktivitäten unter dem Deckmantel einer Hotelbuchung getarnt haben Unternehmen, wodurch ihre Phishing-E-Mails überzeugender werden.
Darüber hinaus ist MrAnon Stealer nicht nur ein Werkzeug für Cyberkriminelle; Es kann von anderen böswilligen Akteuren erworben werden. Die Autoren bieten es zu einem Preis von 500 US-Dollar pro Monat (oder 750 US-Dollar für zwei Monate) an, zusammen mit zusätzlichen Diensten wie einem Crypter für 250 US-Dollar pro Monat und einem Stealth Loader, der ebenfalls 250 US-Dollar pro Monat kostet.
Diese Bedrohungslandschaft offenbart einen strategischen Wandel in der Taktik der Angreifer, da Lin einen Übergang von der Verteilung von Cstealer im Juli und August zu MrAnon Stealer im Oktober und November feststellt. Das Muster deutet auf einen bewussten und sich weiterentwickelnden Ansatz hin, der den kontinuierlichen Einsatz von Phishing-E-Mails zur Verbreitung verschiedener Python-basierter Stealer beinhaltet.
Das Gebot robuster Cybersicherheitsmaßnahmen
Diese Enthüllung steht im Zusammenhang mit der breiteren Cybersicherheitslandschaft, in der Bedrohungsakteure wie der mit China verbundene Mustang Panda in Spear-Phishing-Kampagnen verwickelt sind. In diesem Fall sind die taiwanesische Regierung und Diplomaten das Ziel, mit der Absicht, SmugX, eine neue Variante der PlugX-Hintertür, einzusetzen. Die sich weiterentwickelnde Natur dieser Bedrohungen unterstreicht den anhaltenden Bedarf an robusten Cybersicherheitsmaßnahmen zum Schutz vor raffinierten Angriffen, wie beispielsweise der Verwendung eines Anti-Malware-Tools zur Verhinderung solcher Angriffe.