Una recente campagna di phishing sta distribuendo un malware chiamato MrAnon Stealer a vittime ignare attraverso PDF ingannevoli a tema prenotazioni. Questo malware, basato su Python e compresso con cx-Freeze per evitare il rilevamento, sta colpendo principalmente l’IT tedesco a partire da novembre 2023.
Funzionalità del MrAnon Stealer
MrAnon Stealer è progettato per rubare credenziali, informazioni di sistema, sessioni del browser e estensioni per criptovalute delle sue vittime. Il malware è in grado di raccogliere dati da diverse applicazioni e di esfiltrarli su un sito di condivisione file pubblico e sul canale Telegram dell’attore della minaccia. È anche capace di catturare informazioni da app di messaggistica istantanea, client VPN e file corrispondenti a un elenco desiderato di estensioni.
Metodo di Infezione
Il malware viene diffuso tramite un’email di phishing che sembra provenire da una società interessata a prenotare camere d’albergo. L’email contiene un file PDF che, una volta aperto, attiva l’infezione invitando il destinatario a scaricare una versione aggiornata di Adobe Flash. Questo porta all’esecuzione di eseguibili .NET e script PowerShell, che a loro volta eseguono uno script Python dannoso.
Offerta e Prezzo del Malware
MrAnon Stealer è offerto dagli autori per 500 dollari al mese (o 750 dollari per due mesi), insieme a un crypter (250 dollari al mese) e un loader stealth (250 dollari al mese). La campagna ha inizialmente diffuso Cstealer a luglio e agosto, per poi passare a MrAnon Stealer in ottobre e novembre, suggerendo un approccio strategico nell’uso continuo di email di phishing per propagare una varietà di stealers basati su Python.
Contesto più Ampio
Questa rivelazione arriva mentre il gruppo cinese Mustang Panda è dietro una campagna di spear-phishing mirata al governo taiwanese e ai diplomatici con l’obiettivo di distribuire SmugX, una nuova variante del backdoor PlugX precedentemente scoperta da Check Point nel luglio 2023.