Una nueva campaña de phishing se encuentra afectando a víctimas desprevenidas mediante la entrega de un malware llamado MrAnon Stealer que, roba información mediante señuelos PDF benignos con temas vinculados con reservas hoteleras.

Según los investigadores de FortiGuard Labs, «Este malware, basado en Python comprimido, utiliza cx-Freeze para evadir la detección y llevar a cabo el robo de credenciales, información del sistema, sesiones del navegador y las extensiones de criptomonedas de sus víctimas». Además, aseguran que, desde noviembre de 2023, Alemania es el objetivo principal del ataque, debido a la cantidad de veces que se ha consultado la URL de descarga que aloja la carga útil.

La forma en la que operan los actores de amenazas a través del uso de este malware es haciéndose pasar por una empresa que busca reservar habitaciones de hotel, envían un correo electrónico de phishing con un archivo PDF adjunto que, al abrirse, activa la infección solicitando al destinatario que descargue una versión actualizada de Adobe Flash. Al hacerlo, da como resultado la acción de los ejecutables .NET y scripts de PowerShell, con el fin de recopilar datos de varias aplicaciones y filtrarlos a un sitio web público para compartir archivos y al canal de Telegram del ciberdelincuente. También, es capaz de capturar información de aplicaciones de mensajería instantánea, clientes VPN y archivos que coincidan con una lista deseada de extensiones.

Según se supo, los autores ofrecen MrAnon Stealer por 500 dólares al mes (o 750 dólares por dos meses), junto con un cifrador (250 dólares al mes) y un cargador sigiloso (250 dólares al mes).

Cabe aclarar que, La revelación se produce cuando el Mustang Panda, vinculado a China, se encontraba detrás de una campaña de correo electrónico de phishing dirigida al gobierno y a los diplomáticos taiwaneses con el objetivo de implementar SmugX , una nueva variante de la puerta trasera PlugX que Check Point descubrió previamente en julio de 2023.

«La campaña inicialmente difundió Cstealer en julio y agosto, pero pasó a distribuir MrAnon Stealer en octubre y noviembre«. «Este patrón sugiere un enfoque estratégico que implica el uso continuo de correos electrónicos de phishing para propagar una variedad de ladrones basados ​​en Python«.

Fuente

https://thehackernews.com/2023/12/new-mranon-stealer-targeting-german-it.html