Mi az a MrAnon Stealer, és hatással van-e a számítógépére?
A MrAnon Stealer egy erős információlopó rosszindulatú program, amely a közelmúltban fenyegetésként jelent meg a kiberbiztonsági környezetben. Ezt a rosszindulatú szoftvert egy adathalász kampányon keresztül terjesztik, amely látszólag ártalmatlan foglalási témájú PDF csalikat alkalmaz. A Fortinet FortiGuard Labs kutatója, Cara Lin rávilágított a MrAnon Stealer működésére, és egy Python-alapú rosszindulatú programnak nevezte, amelyet cx-Freeze-zel tömörítettek, hogy elkerüljék a könnyű észlelést.
Table of Contents
PDF csalik és a szállodafoglalás Ruse
A MrAnon Stealer elsődleges funkciója az áldozatok érzékeny információinak ellopása körül forog. Ez magában foglalja a hitelesítő adatokat, a rendszeradatokat, a böngésző munkameneteit, és még a kriptovaluta-bővítményekkel kapcsolatos adatokat is. Nevezetesen, a rosszindulatú program kijátszási taktikája magában foglalja azt, hogy törvényes cégnek álcázza magát, amely szállodai szobákat kíván foglalni. Az adathalász e-mail egy PDF-fájlt tartalmaz, és megnyitásakor a címzett felkéri az Adobe Flash frissített verziójának letöltésére.
Python-alapú rosszindulatú program kijátszási technikákkal
Ennek a látszólag ártalmatlan fájlnak a letöltése után megkezdődik a fertőzési folyamat. Az MrAnon Stealer .NET végrehajtható fájlokat és PowerShell-szkripteket használ a rosszindulatú Python-szkriptek végrehajtására. Ez a szkript képes adatokat gyűjteni különböző alkalmazásokból, majd átszivárogtatni egy nyilvános fájlmegosztó webhelyre és a fenyegetőző Telegram csatornájára. Ezenkívül a rosszindulatú program azt mutatja, hogy képes információkat rögzíteni az azonnali üzenetküldő alkalmazásokból, a VPN-kliensekből és a kiterjesztések előre meghatározott listájának megfelelő fájlokból.
Úgy tűnik, hogy a kampány földrajzi fókusza Németország, amely bizonyítékok arra utalnak, hogy 2023 novemberében nagyszámú lekérdezés érkezett a rakományt tároló letöltő URL-re. A támadók ügyes megközelítést alkalmaztak, tevékenységeiket szállodafoglalás leple alatt álcázva. vállalat, így az adathalász e-mailjeik meggyőzőbbek.
Ezenkívül a MrAnon Stealer nem csupán a kiberbűnözők eszköze; más rosszindulatú szereplők megvásárolhatják. A szerzők havi 500 dolláros (vagy két hónapon át 750 dolláros) áron kínálják, olyan kiegészítő szolgáltatásokkal együtt, mint a kriptográfiai eszköz havi 250 dollárért és a lopakodó betöltő, szintén havi 250 dollárért.
Ez a fenyegetettség a támadók taktikájában bekövetkezett stratégiai váltásról árulkodik, mivel Lin észreveszi az átállást a júliusi és augusztusi Cstealerről az októberi és novemberi MrAnon Stealerre. A minta egy szándékos és fejlődő megközelítést sugall, amely magában foglalja az adathalász e-mailek folyamatos használatát különféle Python-alapú tolvajok terjesztésére.
A robusztus kiberbiztonsági intézkedések elengedhetetlensége
Ez a feltárás a tágabb kiberbiztonsági környezet kontextusában jön létre, ahol a fenyegetés szereplői, például a Kínához köthető Mustang Panda, részt vesznek az adathalász kampányokban. Ebben az esetben a tajvani kormány és diplomaták a célpont, azzal a szándékkal, hogy a SmugX-et, a PlugX hátsó ajtó új változatát telepítsék. E fenyegetések fejlődő természete hangsúlyozza, hogy folyamatosan szükség van robusztus kiberbiztonsági intézkedésekre a kifinomult támadások elleni védelem érdekében, mint például egy rosszindulatú szoftverek elleni eszköz használata az ilyen támadások meghiúsítására.