MrAnon Stealer : Une Escroquerie Allemande Aux Réservations Menée par un Logiciel Malveillant

Une campagne de phishing a été observée, diffusant un logiciel malveillant de vol d’informations appelé MrAnon Stealer à des victimes peu méfiantes par le biais de leurres PDF apparemment inoffensifs sur le thème des réservations.

« Ce logiciel malveillant est un voleur d’informations basé sur Python et compressé avec cx-Freeze pour échapper à la détection », a déclaré Cara Lin, chercheur au FortiGuard Labs de Fortinet. « MrAnon Stealer vole les identifiants de ses victimes, les informations système, les sessions de navigation et les extensions de crypto-monnaie. »

Certains éléments suggèrent que l’Allemagne est la cible principale de l’attaque à partir de novembre 2023, en raison du nombre de fois où l’URL de téléchargement hébergeant la charge utile a été interrogée.

Se faisant passer pour une société cherchant à réserver des chambres d’hôtel, l’e-mail de phishing contient un fichier PDF qui, une fois ouvert, active l’infection en invitant le destinataire à télécharger une version mise à jour d’Adobe Flash.

Cette opération entraîne l’exécution d’exécutables .NET et de scripts PowerShell pour finalement exécuter un script Python pernicieux, capable de collecter des données à partir de plusieurs applications et de les exfiltrer vers un site web public de partage de fichiers et le canal Telegram de l’acteur de la menace. Il est également capable de capturer des informations à partir d’applications de messagerie instantanée, de clients VPN et de fichiers correspondant à une liste d’extensions souhaitée. MrAnon Stealer est proposé par les auteurs pour 500 dollars par mois (ou 750 dollars pour deux mois), avec un crypteur (250 dollars par mois) et un chargeur furtif (250 dollars par mois).
« La campagne a d’abord diffusé le Cstealer en juillet et en août, mais elle est passée à la distribution du MrAnon Stealer en octobre et en novembre », a déclaré M. Lin. « Ce schéma suggère une approche stratégique impliquant l’utilisation continue de courriels d’hameçonnage pour propager une variété de voleurs basés sur Python.

Cette révélation intervient alors que Mustang Panda, lié à la Chine, est à l’origine d’une campagne de spear-phishing par courrier électronique visant le gouvernement et les diplomates taïwanais dans le but de déployer SmugX, une nouvelle variante de la porte dérobée PlugX qui avait déjà été découverte par Check Point en juillet 2023.

 

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.

Partager:

Les dernières actualités :