Roaming Mantis, bir Android kötü amaçlı yazılımı (yeni sekmede açılır) Siber güvenlik araştırmacıları, kurbanlarından hassas verileri ve hatta potansiyel olarak parayı çalmayı amaçlayan operasyonun artık gözünü Fransa halkına diktiğini söylüyor.
Roaming Mantis, Fransızları hedef almadan önce Almanya, Tayvan, Güney Kore, Japonya, ABD ve Birleşik Krallık’taki insanlara saldırdı. BleeBilgisayar raporlar.
Bu, yakın zamanda ortaya çıkan en büyük ve en güçlü botnetlerden biri olarak ortaya çıkan Mantis botnet ile aynı şey değil.
On binlerce kurban
Operasyon geçişi, SEKOIA’dan siber güvenlik araştırmacıları tarafından fark edildi. Kampanyayı analiz ettikten sonra, araştırmacılar metodolojinin pek değişmediğini keşfettiler: kurbanlar önce bir SMS alacak ve iOS veya Android kullanıcısı olmalarına bağlı olarak farklı sitelere yönlendirileceklerdi.
Apple kullanıcıları, saldırganların kimlik bilgilerini vermeleri için onları kandırmaya çalışacağı bir kimlik avı sayfasına yönlendirilirken, Android kullanıcıları, tehdit aktörlerinin güvenliği ihlal edilmiş uç noktaya uzaktan erişmesine izin veren güçlü kötü amaçlı yazılım olan XLoader’ı (MoqHao) indirmeye davet edilecek. hassas verilere ve SMS uygulamalarına (muhtemelen işlemi daha da genişletmek için).
Araştırmacılar, Roaming Mantis’in Şubat 2022’de Fransa’ya dolaştığına inanıyor. Sunucular 404’ü gösterip saldırıyı durduracağından, SMS’i alan ülke dışındaki kullanıcılar güvende.
Araştırmacılar, şimdiye kadar ana komuta ve kontrol sunucusundan XLoader’ı 90.000’den fazla benzersiz IP adresinin indirdiği için kampanyanın oldukça başarılı olduğunu tespit etti. Karışımdaki iOS kullanıcıları ile sayı daha da artıyor, ancak ne yazık ki belirlemek imkansız.
Roaming Mantis, düşük profilli kalma ve antivirüs çözümlerinden kaçınma konusunda da oldukça iyidir. C2 konfigürasyonunu sabit kodlanmış Imgur profil hedeflerinden aldığı, ayrıca base64’te kodlandığı söylendi.
Bunun dışında, kampanyanın altyapısı, son analiz edildiği Nisan ayına kıyasla, çoğunlukla aynı. Sunucular hala TCP/443, TCP/5985, TCP/10081 ve TCP/47001’de açık bağlantı noktalarına sahiptir ve aynı sertifikaları kullanır.
SEKOIA, “SMS mesajlarında kullanılan alan adları ya Godaddy’ye kayıtlıdır ya da duckdns.org gibi dinamik DNS servislerini kullanır” dedi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
