Uma campanha de phishing foi observada entregando um malware chamado MrAnon Stealer para vítimas desprevenidas através de atrativos aparentemente benignos em PDF com temática de reserva.
"Este malware é um ladrão de informações baseado em Python e compactado com cx-Freeze para evitar a detecção", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin.
"O MrAnon Stealer rouba as credenciais das vítimas, informações do sistema, sessões de navegador e extensões de criptomoeda."
Há evidências que sugerem que a Alemanha é o principal alvo do ataque a partir de novembro de 2023, devido ao número de vezes que a URL do downloader hospedando a payload foi consultada.
Posando como uma empresa que procura reservar quartos de hotel, o email de phishing traz um arquivo PDF que, ao ser aberto, ativa a infecção solicitando ao destinatário que baixe uma versão atualizada do Adobe Flash.
Fazer isso resulta na execução de executáveis .NET e scripts do PowerShell para, finalmente, executar um script Python pernicioso, capaz de coletar dados de vários aplicativos e exfiltrá-los para um site de compartilhamento de arquivos públicos e o canal do ator da ameaça no Telegram.
Ele também é capaz de capturar informações de aplicativos de mensagens instantâneas, clientes VPN e arquivos que correspondem a uma lista desejada de extensões.
O MrAnon Stealer é oferecido pelos autores por $500 por mês (ou $750 por dois meses), junto com um criptografador ($250 por mês) e um carregador furtivo ($250 por mês).
"A campanha inicialmente disseminou o Cstealer em julho e agosto, mas passou a distribuir o MrAnon Stealer em outubro e novembro", disse Lin.
"Este padrão sugere uma abordagem estratégica envolvendo o uso continuado de emails de phishing para propagar uma variedade de ladrões baseados em Python."
A revelação ocorre enquanto o Mustang Panda, ligado à China, está por trás de uma campanha de email de spear-phishing que visa o governo e diplomatas taiwaneses com o objetivo de implantar o SmugX, uma nova variante do backdoor PlugX que foi previamente descoberta pela Check Point em julho de 2023.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...