Se ha observado una campaña de phishing que entrega un malware ladrón de información llamado MrAnon Ladrón a víctimas desprevenidas a través de señuelos PDF con temas de reservas aparentemente benignos.
«Este malware es un ladrón de información basado en Python comprimido con cx-Freeze para evadir la detección», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho. «MrAnon Stealer roba las credenciales, la información del sistema, las sesiones del navegador y las extensiones de criptomonedas de sus víctimas».
Hay pruebas que sugieren que Alemania es el objetivo principal del ataque a partir de noviembre de 2023, debido a la cantidad de veces que se ha consultado la URL de descarga que aloja la carga útil.
Haciéndose pasar por una empresa que busca reservar habitaciones de hotel, el correo electrónico de phishing contiene un archivo PDF que, al abrirse, activa la infección solicitando al destinatario que descargue una versión actualizada de Adobe Flash.
Hacerlo da como resultado la ejecución de ejecutables .NET y scripts de PowerShell para, en última instancia, ejecutar un script Python pernicioso, que es capaz de recopilar datos de varias aplicaciones y filtrarlos a un sitio web público para compartir archivos y al canal Telegram del actor de la amenaza.
También es capaz de capturar información de aplicaciones de mensajería instantánea, clientes VPN y archivos que coincidan con una lista deseada de extensiones.
Los autores ofrecen MrAnon Stealer por 500 dólares al mes (o 750 dólares por dos meses), junto con un cifrador (250 dólares al mes) y un cargador sigiloso (250 dólares al mes).
«La campaña inicialmente difundió Cstealer en julio y agosto, pero pasó a distribuir MrAnon Stealer en octubre y noviembre», dijo Lin. «Este patrón sugiere un enfoque estratégico que implica el uso continuo de correos electrónicos de phishing para propagar una variedad de ladrones basados en Python».
La revelación se produce cuando el Mustang Panda, vinculado a China, está detrás de un campaña de correo electrónico de phishing dirigido al gobierno y a los diplomáticos taiwaneses con el objetivo de implementar SmugX, una nueva variante de la puerta trasera PlugX que Check Point descubrió previamente en julio de 2023.