网络安全研究人员强化卫士实验室发现了一个狡猾的电子邮件网络钓鱼活动,通过利用欺骗性的酒店预订来针对毫无戒心的受害者。
复杂的网络钓鱼攻击涉及部署恶意软件,触发一系列事件,最终导致 MrAnon Stealer 恶意软件的激活。
正如首先报道的哈克雷德攻击者并没有依靠复杂的技术手段,而是巧妙地伪装成一家酒店预订公司。他们发送主题为“12 月客房可用性查询”的网络钓鱼电子邮件,其中包含伪造的假日季节预订详细信息。恶意 PDF 文件中隐藏着一个下载器链接,可发起网络钓鱼攻击。
经过分析,FortiGuard 实验室专家揭示了一个涉及 .NET 可执行文件、PowerShell 脚本和欺骗性 Windows 窗体演示的多阶段过程。攻击者熟练地穿过这些阶段,采用虚假错误消息等策略来隐藏 MrAnon Stealer 恶意软件的成功执行。
MrAnon 偷窃者的秘密行动
MrAnon Stealer 在 Python 上运行,谨慎执行,使用 cx-Freeze 压缩其活动并逃避检测机制。其细致的过程包括捕获屏幕截图、检索 IP 地址以及从各种应用程序中提取敏感数据。
这种恶意软件传播背后的网络犯罪分子会终止特定进程,模仿合法连接来获取 IP 地址、国家/地区名称和国家/地区代码。
更糟糕的是,被盗数据(包括凭据、系统信息和浏览器会话)经过压缩,使用密码保护,然后上传到公共文件共享网站。
MrAnon Stealer 可以从各种来源收集数据
据 FortiGuard Labs 称,MrAnon Stealer 可以从加密货币钱包、浏览器和消息应用程序中获取信息,包括 Discord、Discord Canary、Element、Signal 和 Telegram Desktop。值得注意的是,它针对的是 NordVPN、ProtonVPN 和 OpenVPN Connect 等 VPN 客户端。
出于命令和控制目的,攻击者利用 Telegram 通道作为通信媒介。被盗数据以及系统信息和下载链接将使用机器人令牌传输到攻击者的 Telegram 频道。
MrAnon Stealer 活动的战略演变
这一恶意活动于 2023 年 11 月活跃且具有攻击性,主要集中在德国,这一点从该时期下载器 URL 的查询激增即可看出。网络犯罪分子展示了一种战略方法,从 7 月和 8 月的 Cstealer 过渡到 10 月和 11 月的更强大的 MrAnon Stealer。
由于在线漏洞数量空前高涨,强烈建议用户谨慎行事,尤其是在处理包含可疑附件的意外电子邮件时。
挫败网络犯罪企图的关键在于谨慎和常识,这对于防止利用人类漏洞和确保网络安全至关重要。
除了涉及虚假酒店预订的网络钓鱼诈骗外,另一种形式的诈骗被称为”针对的是预订餐厅的顾客。
由于该人将不再亲自前往该地点,因此黑客将利用这种情况,引诱他们通过应用程序点击链接。
