Grazie al lavoro di FortiGuard Labs è stato possibile individuare una nuova e insidiosa campagna phishing.
Questa sfrutta come vettore principale delle e-mail con false prenotazioni alberghiere per adescare potenziali vittime, proponendo poi alle stesso un PDF dannoso che contiene il malware MrAnon Stealer.
I cybercriminali, attraverso un’astuta strategia di social engineering, si spacciano per una società che gestisce prenotazioni alberghiere. L’e-mail inviata, di solito, ha un testo che fa riferimento a una non meglio precisata richiesta di disponibilità delle camere per dicembre. Nel messaggio vero e proprio, vi sono dei dati di una prenotazione fittizia, con tanto di PDF allegato scaricabile.
Inutile confermare che, con l’apertura del documento, si avvia un processo distruttivo che colpisce il computer utilizzato. Nello specifico, il processo include file eseguibili .NET, seguiti da script PowerShell e da altre fasi. Il culmine dell’infezione arriva con l’attivazione di MrAnon Stealer, un infostelaer basato sul linguaggio Python.
Allarme MrAnon Stealer: criptovalute (e non solo) nel mirino del malware
Il malware in questione opera in modo discreto, superando agilmente i sistemi di rilevamento più diffusi. MrAnon Stealer permette, a chi lo gestisce, di ottenere screenshot dal computer preso di mira e di svolgere altre azioni invasive come recuperare l’indirizzo IP e rubare dati sensibili da vari software. Tra i principali obiettivi dell’infostealer, però, vi sono i wallet di criptovalute.
Mascherando la connessione al sistema colpito come legittima, i cybercriminali hanno dunque totale libertà d’azione, andando ad attingere, tra le altre cose, anche ai browser, notoriamente ricchi di informazioni personali preziose. La “refurtiva”, una volta sottratta, viene compressa, protetta da una password e caricata su un sito Web nelle mani dei cybercriminali. Gli stessi, per controllare le attività di MrAnon Stealer, utilizzano un canale Telegram attraverso un token bot.
Questa campagna non è la prima che prende di mira hotel e strutture simili. Giusto qualche giorno fa, infatti, anche una piattaforma importante come Booking è stata vittima di un’azione simile.