Une campagne de phishing a été observée délivrant un logiciel malveillant voleur d’informations appelé M.Anon Voleur à des victimes sans méfiance via des leurres PDF apparemment inoffensifs sur le thème de la réservation.
« Ce malware est un voleur d’informations basé sur Python compressé avec cx-Freeze pour échapper à la détection », Cara Lin, chercheuse chez Fortinet FortiGuard Labs. dit. « MrAnon Stealer vole les informations d’identification, les informations système, les sessions de navigateur et les extensions de crypto-monnaie de ses victimes. »
Il existe des preuves suggérant que l’Allemagne est la principale cible de l’attaque à partir de novembre 2023, en raison du nombre de fois où l’URL du téléchargeur hébergeant la charge utile a été interrogée.
Se faisant passer pour une entreprise cherchant à réserver des chambres d’hôtel, l’e-mail de phishing contient un fichier PDF qui, lors de son ouverture, active l’infection en invitant le destinataire à télécharger une version mise à jour d’Adobe Flash.
Cela entraîne l’exécution d’exécutables .NET et de scripts PowerShell pour finalement exécuter un script Python pernicieux, capable de collecter des données de plusieurs applications et de les exfiltrer vers un site Web public de partage de fichiers et le canal Telegram de l’acteur menaçant.
Il est également capable de capturer des informations provenant d’applications de messagerie instantanée, de clients VPN et de fichiers correspondant à une liste d’extensions souhaitée.
MrAnon Stealer est proposé par les auteurs pour 500 $ par mois (ou 750 $ pour deux mois), aux côtés d’un crypteur (250 $ par mois) et d’un chargeur furtif (250 $ par mois).
« La campagne a initialement diffusé Cstealer en juillet et août, mais a ensuite évolué vers la distribution de MrAnon Stealer en octobre et novembre », a expliqué Lin. « Ce modèle suggère une approche stratégique impliquant l’utilisation continue d’e-mails de phishing pour propager une variété de voleurs basés sur Python. »
La divulgation intervient alors que la Mustang Panda, liée à la Chine, est à l’origine d’un campagne d’e-mails de spear phishing ciblant le gouvernement et les diplomates taïwanais dans le but de déployer SmugX, une nouvelle variante de la porte dérobée PlugX précédemment découverte par Check Point en juillet 2023.