I ricercatori di sicurezza informatica di FortiGuard Labs hanno scoperto una nuova campagna malspam che veicola, con false prenotazioni alberghiere via e-mail, un file PDF malevolo che, una volta aperto, scatena una catena di eventi che portano all’attivazione del malware MrAnon Stealer.
L’e-mail ingannevole
Gli aggressori spacciandosi per una società di prenotazioni alberghiere, inviano e-mail di phishing con oggetto relativo alla disponibilità di camere nel mese di dicembre.
Il corpo dell’e-mail contiene falsi dettagli di prenotazione per le prossime festività natalizie e invita ad aprire un file allegato PDF che in realtà nasconde un il link per il downloader del malware.
Il flusso di attacco
L’aggressore invia e-mail di phishing con dettagli falsi su prenotazioni alberghiere, per indurre le vittime ad aprire un file “Booking.pdf”. Il PDF scarica dal dominio anonbin[.]ir un file eseguibile .NET (adobe.exe) creato con PowerGUI e quindi esegue uno script PowerShell per recuperare alla fine il malware MrAnon Stealer, un infostealer basato su Python. “Il malware scarica ed estrae file da un dominio specifico per eseguire uno script Python dannoso. Lo script estrae file DLL puliti e malware denominati python.exe.”, spiegano i ricercatori, “Questi vengono utilizzati per coprire il caricamento del payload dannoso: MrAnon Stealer“.
il flusso di attacco prevede anche di fare apparire falsi messaggi di errore allo scopo di nascondere l’avvenuta infezione.
MrAnon Stealer, che viene compresso con cx-Freeze per superare i meccanismi di rilevamento (cx_Freeze consente la creazione di eseguibili autonomi archiviando in un file zip tutte le librerie necessarie all’esecuzione), consente una volta avviato l’acquisizione di screenshot, il recupero di indirizzi IP e il furto di dati sensibili da varie applicazioni e client VPN. Per quanto riguarda il server C2 gli attaccanti utilizzano il canale Telegram come mezzo di comunicazione. Infatti i dati rubati, le informazioni di sistema e il link per il loro download vengono inviati al canale Telegram utilizzando un token bot.
Ulteriori dettagli e gli IoC della campagna sono disponibili sul blog FortiGuard.