Hva er MrAnon Stealer og påvirker det datamaskinen din?
MrAnon Stealer er en potent informasjonsstjelende skadelig programvare som nylig har dukket opp som en trussel i cybersikkerhetslandskapet. Denne ondsinnede programvaren distribueres gjennom en phishing-kampanje som bruker PDF-lokker med et tilsynelatende ufarlig bestillingstema. Fortinet FortiGuard Labs-forsker Cara Lin har kastet lys over virkemåten til MrAnon Stealer, og beskriver den som en Python-basert skadelig programvare komprimert med cx-Freeze for å unngå enkel oppdagelse.
Table of Contents
PDF lokker og hotellbestillingsrusen
Den primære funksjonaliteten til MrAnon Stealer dreier seg om å stjele sensitiv informasjon fra ofrene. Dette inkluderer legitimasjon, systemdata, nettleserøkter og til og med data relatert til kryptovaluta-utvidelser. Spesielt involverer unnvikelsestaktikken til skadelig programvare å forkle seg som et legitimt selskap som søker å bestille hotellrom. Phishing-e-posten inneholder en PDF-fil, og når den åpnes, blir mottakeren bedt om å laste ned det som ser ut til å være en oppdatert versjon av Adobe Flash.
Python-basert skadelig programvare med unnvikelsesteknikker
Ved å laste ned denne tilsynelatende ufarlige filen, begynner infeksjonsprosessen. MrAnon Stealer bruker .NET-kjørbare og PowerShell-skript for å kjøre et ondsinnet Python-skript. Dette skriptet er i stand til å samle inn data fra forskjellige applikasjoner, og deretter eksfiltrere det til både et offentlig fildelingsnettsted og trusselaktørens Telegram-kanal. I tillegg demonstrerer skadelig programvare muligheten til å fange opp informasjon fra direktemeldingsapplikasjoner, VPN-klienter og filer som samsvarer med en forhåndsdefinert liste over utvidelser.
Det geografiske fokuset for denne kampanjen ser ut til å være Tyskland, basert på bevis som indikerer et høyt antall forespørsler til nettadressen til nedlasteren som er vert for nyttelasten fra og med november 2023. Angriperne har tatt i bruk en smart tilnærming ved å skjule aktivitetene sine under dekke av en hotellbestilling selskapet, noe som gjør phishing-e-postene deres mer overbevisende.
Videre er MrAnon Stealer ikke bare et verktøy for nettkriminelle; den er tilgjengelig for kjøp av andre ondsinnede aktører. Forfatterne tilbyr det til en pris på $500 per måned (eller $750 for to måneder), sammen med tilleggstjenester som en kryptering for $250 per måned og en snikende laster, også priset til $250 per måned.
Dette trussellandskapet avslører et strategisk skifte i angripernes taktikk, ettersom Lin noterer en overgang fra å distribuere Cstealer i juli og august til MrAnon Stealer i oktober og november. Mønsteret antyder en bevisst og utviklende tilnærming som involverer kontinuerlig bruk av phishing-e-poster for å spre forskjellige Python-baserte stjelere.
Imperativet for robuste cybersikkerhetstiltak
Denne avsløringen kommer i sammenheng med det bredere cybersikkerhetslandskapet, der trusselaktører som den Kina-tilknyttede Mustang Panda har blitt involvert i spyd-phishing-kampanjer. I dette tilfellet er målet den taiwanske regjeringen og diplomater, med den hensikt å distribuere SmugX, en ny variant av PlugX-bakdøren. Utviklingen av disse truslene understreker det pågående behovet for robuste nettsikkerhetstiltak for å beskytte mot sofistikerte angrep, for eksempel bruk av et anti-malware-verktøy for å hindre slike angrep.