MrAnon Stealer: o campanie inovatoare de phishing

MrAnon Stealer: o campanie inovatoare de phishing

A fost identificată recent o campanie de phishing prin email care utilizează informații false de rezervare pentru a încuraja victimele să acceseze un fișier PDF malițios. PDF-ul descarcă un fișier executabil .NET creat cu PowerGUI și apoi rulează un script PowerShell pentru a obține malware-ul final, cunoscut sub numele de MrAnon Stealer.

Rating: 5.0 (3 voturi)
Noutăți 13.12.2023

Un malware inovator ce se ascunde în spatele unui fals chestionar de rezervări hoteliere

Acest program malițios are rolul de a prelua ilicit informații și este dezvoltat în limbajul de programare Python și a fost compactat cu ajutorul instrumentului cx-Freeze pentru a evita detectarea. MrAnon Stealer preia credențialele utilizatorilor, informațiile sistemului, sesiunile din browser și extensiile legate de criptomonede.

O campanie de phishing a fost observată distribuind un malware furător de informații numit MrAnon Stealer către victime neștiutoare printr-un leure tematic despre rezervări în aparență inofensive. În loc să se bazeze pe detalii tehnice complexe, atacatorii se prezintă iscusit ca o companie de rezervări la hotel, trimițând emailuri de phishing cu subiectul "Chestionar disponibilitate camere decembrie". Mesajul de email conține detalii fabricate despre rezervări pentru perioada sărbătorilor, iar fișierul PDF malițios ascunde un link pentru descărcare.

 

Etapele meticuloase ale campaniei de phishing

La o examinare mai atentă, a fost descoperit un proces în mai multe etape care implică fișiere executabile .NET, scripturi PowerShell și prezentări false ale ferestrelor Windows. Atacatorii, prezentându-se ca o companie de rezervări la hotel, navighează cu pricepere prin aceste etape, folosind tactici precum mesaje de eroare false pentru a masca executarea reușită a malware-ului.

Hackerii demonstrează o meticulozitate  prin întreruperea anumitor procese pe sistemul victimei și dându-se drept conexiuni legitime pentru a obține adrese IP, nume de țară și coduri de țară. Datele furate, inclusiv credențialele, informațiile sistemului și sesiunile browserului, sunt comprimate, securizate cu o parolă și încărcate pe un site de partajare publică de fișiere.



Strategiile hackerilor îndreptate către Germania

Există dovezi care sugerează că Germania este ținta principală a atacului din noiembrie 2023, având în vedere numărul de interogări pentru URL-ul de descărcare care găzduiește payload-ul.

Prezentându-se ca o companie interesată să rezerve camere de hotel, emailul de phishing poartă un fișier PDF care, la deschidere, activează infecția prin îndemnul destinatarului de a descărca o versiune actualizată a Adobe Flash.

Malware-ul este capabil să colecteze date din mai multe aplicații și să le exfilteze pe un site public de partajare de fișiere și pe canalul de Telegram al actorului amenințării. Este, de asemenea, capabil să captureze informații din aplicații de mesagerie instantanee, clienți VPN și fișiere care se potrivesc unei liste dorite de extensii.

MrAnon Stealer este oferit de către autorii săi la prețul de 500 de dolari pe lună (sau 750 de dolari pentru două luni), împreună cu un crypter (250 de dolari pe lună) și un încărcător furtunos (250 de dolari pe lună).

 

Campania de phishing a MrAnon Stealer este o combinație de manipulare socială și pricepere tehnică, subliniind peisajul în continuă schimbare al amenințărilor cibernetice. Este încă un apel puternic pentru organizații să-și întărească apărarea împotriva unor astfel de înșelăciuni digitale perfide.

Atât timp cât sunteți în mediul online, sunteți expuși constant la vulnerabilități. Prin urmare, utilizatorilor li se recomandă să fie prudenți atunci când interacționează cu emailuri neașteptate, în special cele care conțin atașamente dubioase. Prudența e un factor cheie pentru a contracara încercările cibercriminalilor de a exploata vulnerabilitățile umane și de a compromite securitatea online.



Sursa1, sursa2, sursa3