adlı bir bilgi çalan kötü amaçlı yazılım sunan bir kimlik avı kampanyası gözlemlendi. MrAnon Hırsızı görünüşte zararsız rezervasyon temalı PDF yemleri aracılığıyla hiçbir şeyden haberi olmayan kurbanlara.
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Bu kötü amaçlı yazılım, tespit edilmekten kaçınmak için cx-Freeze ile sıkıştırılmış Python tabanlı bir bilgi hırsızıdır” dedi söz konusu. “MrAnon Stealer kurbanlarının kimlik bilgilerini, sistem bilgilerini, tarayıcı oturumlarını ve kripto para birimi uzantılarını çalıyor.”
Yükü barındıran indirici URL’sinin sorgulanma sayısı nedeniyle, Kasım 2023 itibarıyla saldırının birincil hedefinin Almanya olduğunu gösteren kanıtlar var.
Otel odası rezervasyonu yapmak isteyen bir şirket gibi görünen kimlik avı e-postası, açıldığında alıcıdan Adobe Flash’ın güncellenmiş bir sürümünü indirmesini isteyerek bulaşmayı etkinleştiren bir PDF dosyası taşıyor.
Bunu yapmak, .NET yürütülebilir dosyalarının ve PowerShell komut dosyalarının çalıştırılmasıyla sonuçlanır ve sonuçta çeşitli uygulamalardan veri toplayıp bu verileri genel bir dosya paylaşım web sitesine ve tehdit aktörünün Telegram kanalına sızdırabilen tehlikeli bir Python komut dosyasını çalıştırır.
Ayrıca anlık mesajlaşma uygulamalarından, VPN istemcilerinden ve istenen uzantı listesiyle eşleşen dosyalardan bilgi yakalama yeteneğine de sahiptir.
MrAnon Stealer, yazarlar tarafından ayda 500$ (ya da iki ay boyunca 750$), bir şifreleyici (ayda 250$) ve gizli bir yükleyici (ayda 250$) karşılığında teklif ediliyor.
Lin, “Kampanya başlangıçta Cstealer’ı Temmuz ve Ağustos aylarında dağıttı ancak Ekim ve Kasım aylarında MrAnon Stealer’ın dağıtımına geçti” dedi. “Bu model, çeşitli Python tabanlı hırsızları yaymak için kimlik avı e-postalarının sürekli kullanımını içeren stratejik bir yaklaşımı akla getiriyor.”
Açıklama, Çin bağlantılı Mustang Panda’nın bir saldırının arkasında olduğu sırada geldi. hedef odaklı kimlik avı e-posta kampanyası Daha önce Temmuz 2023’te Check Point tarafından ortaya çıkarılan PlugX arka kapısının yeni bir çeşidi olan SmugX’i dağıtmak amacıyla Tayvan hükümetini ve diplomatları hedef alıyor.
