Co to jest MrAnon Stealer i czy ma wpływ na Twój komputer?
MrAnon Stealer to szkodliwe oprogramowanie o silnym działaniu kradnącym informacje, które niedawno okazało się zagrożeniem w krajobrazie cyberbezpieczeństwa. To złośliwe oprogramowanie jest rozpowszechniane poprzez kampanię phishingową wykorzystującą przynęty w formacie PDF z pozornie nieszkodliwym motywem rezerwacji. Cara Lin, badaczka z Fortinet FortiGuard Labs, rzuciła światło na działanie MrAnon Stealer, opisując go jako złośliwe oprogramowanie oparte na języku Python skompresowane za pomocą cx-Freeze w celu uniknięcia łatwego wykrycia.
Table of Contents
Przynęty PDF i podstęp przy rezerwacji hotelu
Podstawowa funkcjonalność MrAnon Stealer polega na kradzieży poufnych informacji od ofiar. Obejmuje to dane uwierzytelniające, dane systemowe, sesje przeglądarki, a nawet dane związane z rozszerzeniami kryptowalut. Warto zauważyć, że taktyka unikania stosowana przez szkodliwe oprogramowanie polega na podszywaniu się pod legalną firmę oferującą rezerwacje pokoi hotelowych. Wiadomość phishingowa zawiera plik PDF i po jego otwarciu odbiorca jest proszony o pobranie czegoś, co wygląda na zaktualizowaną wersję programu Adobe Flash.
Złośliwe oprogramowanie oparte na Pythonie z technikami unikania
Po pobraniu tego pozornie nieszkodliwego pliku rozpoczyna się proces infekcji. MrAnon Stealer wykorzystuje pliki wykonywalne .NET i skrypty PowerShell do wykonania złośliwego skryptu w języku Python. Skrypt ten może zbierać dane z różnych aplikacji, a następnie eksfiltrować je zarówno do publicznej witryny umożliwiającej udostępnianie plików, jak i do kanału telegramowego ugrupowania zagrażającego. Ponadto szkodliwe oprogramowanie wykazuje zdolność do przechwytywania informacji z komunikatorów internetowych, klientów VPN i plików pasujących do predefiniowanej listy rozszerzeń.
Na podstawie dowodów wskazujących na dużą liczbę zapytań dotyczących adresu URL narzędzia pobierania, na którym znajduje się ładunek, wydaje się, że są Niemcy, według stanu na listopad 2023 r. Napastnicy przyjęli sprytne podejście, ukrywając swoje działania pod pozorem rezerwacji hotelu firmę, dzięki czemu ich wiadomości phishingowe będą bardziej przekonujące.
Co więcej, MrAnon Stealer to nie tylko narzędzie dla cyberprzestępców; jest on dostępny do zakupu przez innych złośliwych aktorów. Autorzy oferują go w cenie 500 dolarów miesięcznie (lub 750 dolarów za dwa miesiące), wraz z dodatkowymi usługami, takimi jak narzędzie szyfrujące za 250 dolarów miesięcznie i ukryty moduł ładujący, również wyceniony na 250 dolarów miesięcznie.
Ten krajobraz zagrożeń ukazuje strategiczną zmianę w taktyce atakujących, jak Lin zauważa przejście od dystrybucji Cstealera w lipcu i sierpniu do MrAnon Stealer w październiku i listopadzie. Wzorzec sugeruje celowe i ewoluujące podejście polegające na ciągłym wykorzystywaniu wiadomości e-mail phishingowych w celu rozprzestrzeniania różnych złodziei opartych na języku Python.
Imperatyw solidnych środków cyberbezpieczeństwa
Odkrycie to pojawia się w kontekście szerszego krajobrazu cyberbezpieczeństwa, w którym podmioty zagrażające, takie jak powiązana z Chinami Mustang Panda, są zamieszane w kampanie typu spear-phishing. W tym przypadku celem jest tajwański rząd i dyplomaci, a celem jest wdrożenie SmugX, nowego wariantu backdoora PlugX. Ewoluujący charakter tych zagrożeń uwydatnia ciągłą potrzebę stosowania solidnych środków cyberbezpieczeństwa w celu ochrony przed wyrafinowanymi atakami, takich jak wykorzystanie narzędzia chroniącego przed złośliwym oprogramowaniem w celu udaremnienia takich ataków.