Vad är MrAnon Stealer och påverkar det din dator?
MrAnon Stealer är en potent skadlig programvara som stjäl information som nyligen har dykt upp som ett hot i cybersäkerhetslandskapet. Denna skadliga programvara distribueras genom en nätfiskekampanj som använder PDF-lurar med ett till synes ofarligt bokningstema. Fortinet FortiGuard Labs forskare Cara Lin har belyst hur MrAnon Stealer fungerar och beskriver det som en Python-baserad skadlig programvara komprimerad med cx-Freeze för att undvika enkel upptäckt.
Table of Contents
PDF Lures and the Hotel Booking Ruse
Den primära funktionen hos MrAnon Stealer kretsar kring att stjäla känslig information från dess offer. Detta inkluderar autentiseringsuppgifter, systemdata, webbläsarsessioner och till och med data relaterade till kryptovalutatillägg. Noterbart är att skadlig programvaras undanflyktstaktik innebär att man maskerar sig som ett legitimt företag som försöker boka hotellrum. Nätfiskemeddelandet innehåller en PDF-fil, och när den öppnas uppmanas mottagaren att ladda ner vad som verkar vara en uppdaterad version av Adobe Flash.
Python-baserad skadlig programvara med undanflyktstekniker
När du laddar ner denna till synes ofarliga fil börjar infektionsprocessen. MrAnon Stealer använder .NET-körbara filer och PowerShell-skript för att köra ett skadligt Python-skript. Det här skriptet kan samla in data från olika applikationer och sedan exfiltrera det till både en offentlig fildelningswebbplats och hotaktörens Telegram-kanal. Dessutom visar skadlig programvara förmågan att fånga information från snabbmeddelandeapplikationer, VPN-klienter och filer som matchar en fördefinierad lista med tillägg.
Kampanjens geografiska fokus tycks vara Tyskland, baserat på bevis som indikerar ett stort antal frågor till nedladdningswebbadressen som är värd för nyttolasten från och med november 2023. Angriparna har antagit ett smart tillvägagångssätt genom att dölja sina aktiviteter under sken av en hotellbokning. företag, vilket gör deras nätfiske-e-postmeddelanden mer övertygande.
Dessutom är MrAnon Stealer inte bara ett verktyg för cyberkriminella; den är tillgänglig för köp av andra illvilliga aktörer. Författarna erbjuder det till ett pris av $500 per månad (eller $750 för två månader), tillsammans med ytterligare tjänster som en kryptering för $250 per månad och en smyglastare, också prissatt till $250 per månad.
Detta hotlandskap avslöjar en strategisk förändring i angriparnas taktik, eftersom Lin noterar en övergång från att distribuera Cstealer i juli och augusti till MrAnon Stealer i oktober och november. Mönstret antyder ett medvetet och utvecklande tillvägagångssätt som involverar kontinuerlig användning av nätfiske-e-post för att sprida olika Python-baserade stjälare.
Imperativet av robusta cybersäkerhetsåtgärder
Denna avslöjande kommer i samband med det bredare cybersäkerhetslandskapet, där hotaktörer som den Kina-länkade Mustang Panda har varit inblandade i spjutfiskekampanjer. I det här fallet är målet den taiwanesiska regeringen och diplomater, med avsikten att distribuera SmugX, en ny variant av PlugX-bakdörren. Utvecklingen av dessa hot understryker det pågående behovet av robusta cybersäkerhetsåtgärder för att skydda sig mot sofistikerade attacker, såsom användningen av ett anti-malware-verktyg för att motverka sådana attacker.
