Что такое MrAnon Stealer и влияет ли он на ваш компьютер?
MrAnon Stealer — мощное вредоносное ПО для кражи информации, которое недавно стало угрозой в сфере кибербезопасности. Это вредоносное программное обеспечение распространяется посредством фишинговой кампании, в которой используются PDF-приманки с, казалось бы, безобидной темой бронирования. Исследователь Fortinet FortiGuard Labs Кара Лин пролила свет на работу MrAnon Stealer, описав его как вредоносное ПО на основе Python, сжатое с помощью cx-Freeze, чтобы избежать легкого обнаружения.
Table of Contents
PDF Приманки и бронирование отелей Русе
Основная функциональность MrAnon Stealer связана с кражей конфиденциальной информации у жертв. Сюда входят учетные данные, системные данные, сеансы браузера и даже данные, связанные с расширениями криптовалюты. Примечательно, что тактика уклонения вредоносного ПО предполагает маскировку под законную компанию, стремящуюся забронировать номера в отелях. Фишинговое электронное письмо содержит файл PDF, и при его открытии получателю предлагается загрузить обновленную версию Adobe Flash.
Вредоносное ПО на базе Python с методами уклонения
После загрузки этого, казалось бы, безобидного файла, начинается процесс заражения. MrAnon Stealer использует исполняемые файлы .NET и сценарии PowerShell для выполнения вредоносного сценария Python. Этот скрипт способен собирать данные из различных приложений, а затем пересылать их как на общедоступный файлообменник, так и на Telegram-канал злоумышленника. Кроме того, вредоносное ПО демонстрирует способность перехватывать информацию из приложений обмена мгновенными сообщениями, VPN-клиентов и файлов, соответствующих заранее определенному списку расширений.
Географическим фокусом этой кампании, судя по всему, является Германия, основываясь на фактах, указывающих на большое количество запросов к URL-адресу загрузчика, на котором размещена полезная нагрузка, по состоянию на ноябрь 2023 года. Злоумышленники применили хитрый подход, замаскировав свою деятельность под видом бронирования гостиницы. компании, что делает их фишинговые письма более убедительными.
Более того, MrAnon Stealer — это не просто инструмент для киберпреступников; он доступен для покупки другими злоумышленниками. Авторы предлагают его по цене $500 в месяц (или $750 за два месяца) вместе с дополнительными услугами, такими как криптер за $250 в месяц и скрытый загрузчик, также по цене $250 в месяц.
Этот ландшафт угроз показывает стратегический сдвиг в тактике злоумышленников: Лин отмечает переход от распространения Cstealer в июле и августе к распространению MrAnon Stealer в октябре и ноябре. Этот шаблон предполагает целенаправленный и развивающийся подход, включающий постоянное использование фишинговых писем для распространения различных воров на основе Python.
Необходимость принятия надежных мер кибербезопасности
Это открытие происходит в контексте более широкой сферы кибербезопасности, где такие субъекты угроз, как связанная с Китаем компания Mustang Panda, были замешаны в целевых фишинговых кампаниях. В данном случае целью является тайваньское правительство и дипломаты с намерением развернуть SmugX, новый вариант бэкдора PlugX. Развивающийся характер этих угроз подчеркивает постоянную необходимость в надежных мерах кибербезопасности для защиты от сложных атак, таких как использование инструментов защиты от вредоносного ПО для предотвращения таких атак.
