Qu’est-ce que MrAnon Stealer et affecte-t-il votre ordinateur ?
MrAnon Stealer est un puissant malware voleur d'informations qui est récemment apparu comme une menace dans le paysage de la cybersécurité. Ce logiciel malveillant est distribué via une campagne de phishing qui utilise des leurres PDF avec un thème de réservation apparemment inoffensif. Cara Lin, chercheuse chez Fortinet FortiGuard Labs, a mis en lumière le fonctionnement de MrAnon Stealer, le décrivant comme un malware basé sur Python compressé avec cx-Freeze pour éviter une détection facile.
Table of Contents
Les leurres PDF et la ruse de réservation d'hôtel
La fonctionnalité principale de MrAnon Stealer consiste à voler des informations sensibles à ses victimes. Cela inclut les informations d’identification, les données système, les sessions de navigateur et même les données liées aux extensions de crypto-monnaie. Les tactiques d'évasion du logiciel malveillant consistent notamment à se faire passer pour une entreprise légitime cherchant à réserver des chambres d'hôtel. L'e-mail de phishing contient un fichier PDF et, lors de son ouverture, le destinataire est invité à télécharger ce qui semble être une version mise à jour d'Adobe Flash.
Logiciel malveillant basé sur Python avec techniques d'évasion
Lors du téléchargement de ce fichier apparemment inoffensif, le processus d'infection commence. MrAnon Stealer utilise des exécutables .NET et des scripts PowerShell pour exécuter un script Python malveillant. Ce script est capable de collecter des données provenant de diverses applications, puis de les exfiltrer à la fois vers un site Web public de partage de fichiers et vers la chaîne Telegram de l'acteur malveillant. De plus, le malware démontre sa capacité à capturer des informations provenant d'applications de messagerie instantanée, de clients VPN et de fichiers correspondant à une liste prédéfinie d'extensions.
La cible géographique de cette campagne semble être l'Allemagne, sur la base de preuves indiquant un nombre élevé de requêtes sur l'URL de téléchargement hébergeant la charge utile en novembre 2023. Les attaquants ont adopté une approche intelligente en déguisant leurs activités sous le couvert d'une réservation d'hôtel. entreprise, rendant leurs e-mails de phishing plus convaincants.
De plus, MrAnon Stealer n'est pas simplement un outil destiné aux cybercriminels ; il est disponible à l'achat par d'autres acteurs malveillants. Les auteurs le proposent au prix de 500 $ par mois (ou 750 $ pour deux mois), ainsi que des services supplémentaires tels qu'un crypteur pour 250 $ par mois et un chargeur furtif, également au prix de 250 $ par mois.
Ce paysage de menaces révèle un changement stratégique dans les tactiques des attaquants, puisque Lin note une transition de la distribution de Cstealer en juillet et août à MrAnon Stealer en octobre et novembre. Ce modèle suggère une approche délibérée et évolutive impliquant l’utilisation continue d’e-mails de phishing pour propager divers voleurs basés sur Python.
L’impératif de mesures de cybersécurité robustes
Cette révélation intervient dans le contexte plus large du paysage de la cybersécurité, où des acteurs menaçants tels que Mustang Panda, lié à la Chine, ont été impliqués dans des campagnes de spear phishing. Dans ce cas, la cible est le gouvernement et les diplomates taïwanais, avec l'intention de déployer SmugX, une nouvelle variante de la porte dérobée PlugX. La nature évolutive de ces menaces souligne la nécessité constante de mesures de cybersécurité robustes pour se prémunir contre les attaques sophistiquées, telles que l'utilisation d'un outil anti-malware pour contrecarrer de telles attaques.
