Novo Malware MrAnon Stealer mira usuários alemães através de golpe com tema de reservas
12 de Dezembro de 2023

Uma campanha de phishing foi observada entregando um malware chamado MrAnon Stealer para vítimas desprevenidas através de atrativos aparentemente benignos em PDF com temática de reserva.

"Este malware é um ladrão de informações baseado em Python e compactado com cx-Freeze para evitar a detecção", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin.

"O MrAnon Stealer rouba as credenciais das vítimas, informações do sistema, sessões de navegador e extensões de criptomoeda."

Há evidências que sugerem que a Alemanha é o principal alvo do ataque a partir de novembro de 2023, devido ao número de vezes que a URL do downloader hospedando a payload foi consultada.

Posando como uma empresa que procura reservar quartos de hotel, o email de phishing traz um arquivo PDF que, ao ser aberto, ativa a infecção solicitando ao destinatário que baixe uma versão atualizada do Adobe Flash.

Fazer isso resulta na execução de executáveis .NET e scripts do PowerShell para, finalmente, executar um script Python pernicioso, capaz de coletar dados de vários aplicativos e exfiltrá-los para um site de compartilhamento de arquivos públicos e o canal do ator da ameaça no Telegram.

Ele também é capaz de capturar informações de aplicativos de mensagens instantâneas, clientes VPN e arquivos que correspondem a uma lista desejada de extensões.

O MrAnon Stealer é oferecido pelos autores por $500 por mês (ou $750 por dois meses), junto com um criptografador ($250 por mês) e um carregador furtivo ($250 por mês).

"A campanha inicialmente disseminou o Cstealer em julho e agosto, mas passou a distribuir o MrAnon Stealer em outubro e novembro", disse Lin.

"Este padrão sugere uma abordagem estratégica envolvendo o uso continuado de emails de phishing para propagar uma variedade de ladrões baseados em Python."

A revelação ocorre enquanto o Mustang Panda, ligado à China, está por trás de uma campanha de email de spear-phishing que visa o governo e diplomatas taiwaneses com o objetivo de implantar o SmugX, uma nova variante do backdoor PlugX que foi previamente descoberta pela Check Point em julho de 2023.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...