Kas yra „MrAnon Stealer“ ir ar tai veikia jūsų kompiuterį?
„MrAnon Stealer“ yra galinga informaciją vagianti kenkėjiška programa, kuri neseniai iškilo kaip grėsmė kibernetinio saugumo srityje. Ši kenkėjiška programinė įranga platinama per sukčiavimo kampaniją, kurioje naudojami PDF masalai su iš pažiūros nekenksminga užsakymo tema. „Fortinet FortiGuard Labs“ tyrėja Cara Lin atskleidė „MrAnon Stealer“ veikimą, apibūdindama ją kaip „Python“ pagrindu veikiančią kenkėjišką programą, suglaudintą „cx-Freeze“, kad būtų išvengta lengvo aptikimo.
Table of Contents
PDF masalai ir viešbučių užsakymas Ruse
Pagrindinė „MrAnon Stealer“ funkcija yra slaptos informacijos iš aukų pagrobimas. Tai apima kredencialus, sistemos duomenis, naršyklės seansus ir net duomenis, susijusius su kriptovaliutų plėtiniais. Pažymėtina, kad kenkėjiškų programų vengimo taktika apima apsimetimą teisėta įmone, siekiančia užsisakyti viešbučio kambarius. Sukčiavimo el. laiške yra PDF failas, o jį atidarius gavėjas raginamas atsisiųsti, atrodo, atnaujintą „Adobe Flash“ versiją.
„Python“ pagrįsta kenkėjiška programa su vengimo metodais
Atsisiuntus šį, atrodytų, nekenksmingą failą, prasideda infekcijos procesas. „MrAnon Stealer“ naudoja .NET vykdomuosius failus ir „PowerShell“ scenarijus, kad galėtų vykdyti kenkėjišką „Python“ scenarijų. Šis scenarijus gali rinkti duomenis iš įvairių programų, vėliau juos išfiltruoti į viešą failų dalijimosi svetainę ir grėsmės veikėjo Telegram kanalą. Be to, kenkėjiška programa demonstruoja galimybę užfiksuoti informaciją iš momentinių pranešimų programų, VPN klientų ir failų, atitinkančių iš anksto nustatytą plėtinių sąrašą.
Atrodo, kad šios kampanijos geografinė sritis yra Vokietija, remiantis įrodymais, rodančiais, kad nuo 2023 m. lapkričio mėn. buvo pateikta daug užklausų į atsisiuntimo programos URL, kuriame yra naudingoji apkrova. įmonė, todėl jų sukčiavimo el. laiškai tampa įtikinamesni.
Be to, MrAnon Stealer nėra tik kibernetinių nusikaltėlių įrankis; jį gali įsigyti kiti kenkėjiški veikėjai. Autoriai siūlo jį už 500 USD per mėnesį (arba 750 USD už du mėnesius), kartu su papildomomis paslaugomis, tokiomis kaip šifravimo įrenginys už 250 USD per mėnesį ir slaptas krautuvas, kurio kaina taip pat yra 250 USD per mėnesį.
Šis grėsmės peizažas atskleidžia strateginį užpuolikų taktikos pokytį, nes Linas pastebi perėjimą nuo „Cstealer“ platinimo liepos ir rugpjūčio mėnesiais prie „MrAnon Stealer“ spalio ir lapkričio mėn. Šis modelis rodo apgalvotą ir besikeičiantį metodą, apimantį nuolatinį sukčiavimo el. laiškų naudojimą įvairiems Python pagrindu veikiančioms vagijoms platinti.
Tvirtų kibernetinio saugumo priemonių būtinybė
Šis apreiškimas ateina atsižvelgiant į platesnį kibernetinio saugumo kraštovaizdį, kuriame grėsmės veikėjai, tokie kaip su Kinija susijusi Mustang Panda, buvo įtraukti į sukčiavimo ietis. Šiuo atveju taikinys yra Taivano vyriausybė ir diplomatai, ketinantys įdiegti SmugX – naują „PlugX“ užpakalinių durų variantą. Besivystantis šių grėsmių pobūdis pabrėžia nuolatinį tvirtų kibernetinio saugumo priemonių poreikį, siekiant apsisaugoti nuo sudėtingų atakų, pavyzdžiui, naudoti kovos su kenkėjiškomis programomis įrankį tokioms atakoms sutrukdyti.