Cos'è MrAnon Stealer e influisce sul tuo computer?
MrAnon Stealer è un potente malware in grado di rubare informazioni recentemente emerso come una minaccia nel panorama della sicurezza informatica. Questo software dannoso viene distribuito attraverso una campagna di phishing che utilizza esche PDF con un tema di prenotazione apparentemente innocuo. Cara Lin, ricercatrice di Fortinet FortiGuard Labs, ha fatto luce sul funzionamento di MrAnon Stealer, descrivendolo come un malware basato su Python compresso con cx-Freeze per evitare un facile rilevamento.
Table of Contents
PDF Le esche e lo stratagemma della prenotazione alberghiera
La funzionalità principale di MrAnon Stealer ruota attorno al furto di informazioni sensibili dalle sue vittime. Ciò include credenziali, dati di sistema, sessioni del browser e persino dati relativi alle estensioni di criptovaluta. In particolare, le tattiche di evasione del malware implicano il mascheramento da azienda legittima che cerca di prenotare camere d'albergo. L'e-mail di phishing contiene un file PDF e, una volta aperto, al destinatario viene richiesto di scaricare quella che sembra essere una versione aggiornata di Adobe Flash.
Malware basato su Python con tecniche di evasione
Dopo aver scaricato questo file apparentemente innocuo, inizia il processo di infezione. MrAnon Stealer utilizza eseguibili .NET e script PowerShell per eseguire uno script Python dannoso. Questo script è in grado di raccogliere dati da varie applicazioni, per poi esfiltrarli sia su un sito web pubblico di condivisione file che sul canale Telegram dell'autore della minaccia. Inoltre, il malware dimostra la capacità di acquisire informazioni da applicazioni di messaggistica istantanea, client VPN e file che corrispondono a un elenco predefinito di estensioni.
Il focus geografico di questa campagna sembra essere la Germania, sulla base di prove che indicano un numero elevato di query all'URL del downloader che ospita il payload a partire da novembre 2023. Gli aggressori hanno adottato un approccio intelligente mascherando le loro attività con il pretesto di una prenotazione alberghiera azienda, rendendo le loro email di phishing più convincenti.
Inoltre, MrAnon Stealer non è semplicemente uno strumento per i criminali informatici; è disponibile per l'acquisto da parte di altri attori malintenzionati. Gli autori lo offrono al prezzo di 500 dollari al mese (o 750 dollari per due mesi), insieme a servizi aggiuntivi come un crypter per 250 dollari al mese e un caricatore invisibile, anch'esso al prezzo di 250 dollari al mese.
Questo panorama delle minacce rivela un cambiamento strategico nelle tattiche degli aggressori, poiché Lin nota una transizione dalla distribuzione di Cstealer in luglio e agosto a MrAnon Stealer in ottobre e novembre. Il modello suggerisce un approccio deliberato e in evoluzione che prevede l’uso continuo di e-mail di phishing per propagare vari ladri basati su Python.
L’imperativo di robuste misure di sicurezza informatica
Questa rivelazione si inserisce nel contesto più ampio del panorama della sicurezza informatica, in cui attori di minacce come la Mustang Panda collegata alla Cina sono stati implicati in campagne di spear-phishing. In questo caso l’obiettivo sono il governo e i diplomatici taiwanesi, con l’intenzione di implementare SmugX, una nuova variante della backdoor PlugX. La natura in evoluzione di queste minacce sottolinea la continua necessità di solide misure di sicurezza informatica per proteggersi da attacchi sofisticati, come l’uso di uno strumento anti-malware per contrastare tali attacchi.
