Windows kullanıcılarını hedef alan kimlik avı e-postaları keşfedildi ve kullanıcıları sahte rezervasyon ayrıntıları kullanarak kötü amaçlı yazılım yayan “MrAnon Stealer” adlı kötü amaçlı bir PDF dosyasını açmaya kandırdı.
Son kötü amaçlı yazılımı elde etmek için PowerShell betiği, PowerGUI ile oluşturulan bir.NET yürütülebilir dosyasını indirdikten sonra PDF tarafından yürütülür.
Kimlik bilgileri, sistem verileri, tarayıcı oturumları ve kripto para birimi uzantılarının tümü Bay Alan Stealer tarafından çalındı.
MrAnon’un Saldırı Akışı
FortiGuard Labs’a göre bu kötü amaçlı yazılım, tespit edilmekten kaçınmak için cx-Freeze ile sıkıştırılmış Python tabanlı bir bilgi hırsızıdır.
İndirici URL’sine yapılan sorguların çoğunluğu Almanya’dan geldi; bu da ülkenin saldırının ana hedefi olduğunu gösteriyor.
Kasım 2023’te bu URL’ye yönelik sorguların sayısında kayda değer bir artış görüldü; bu da o ay boyunca daha güçlü ve aktif bir pazarlamanın yapıldığına işaret ediyor.
Otel odası rezervasyonu yapmak isteyen bir şirket gibi davranan saldırgan, “Aralık Oda Müsaitlik Durumu Sorgusu” konu satırıyla kimlik avı e-postaları gönderiyor. Bu metinde yaklaşan tatillere ilişkin sahte otel rezervasyon bilgileri yer alıyor.
Araştırmacılar, kötü amaçlı PDF dosyası için bir indirme bağlantısının akış nesnesinde gizlendiğini söylüyor.
Araştırmacılar, kötü amaçlı yazılımın, “Yükleyici” sınıfındaki dizeleri inceleyerek PowerShell komut dosyalarını Microsoft çalıştırılabilir dosyalarına dönüştüren PowerShell komut dosyası düzenleyicisini kullandığını keşfetti.
“Komut dosyası bir Windows Formunun yüklenmesini başlatır ve form, etiket ve ilerleme çubuğu dahil olmak üzere ayarlarını yapılandırır. Ek olarak, kullanıcı şüphelerini azaltmak için sonraki komut dosyasının yürütülmesi sırasında metni tanımlar”, diye FortiGuard Labs Cyber Security News ile bir rapor paylaştı.
Bu senaryoda, “Dosya Desteklenmiyor” etiketli bir pencere ve “Çalıştırılmıyor: python.exe” yazan bir durum mesajı görüntülenir. Bu yanıltıcı sunum, kullanıcıları kötü amaçlı yazılımın etkili bir şekilde yürütülmediğine inandırmayı amaçlamaktadır.
Araştırmacılar, “Kötü amaçlı yazılım, .NET yürütülebilir dosyalarını ve PowerShell komut dosyalarını içeren karmaşık bir süreç oluşturmak için PowerGUI ve cx-Freeze araçlarını kullanıyor” dedi.
MrAnon Stealer’ın destek kanalı daha fazla özellik sunar, ürünün tanıtımını yapar ve kullanıcıların ilgili tüm araçları satın alabilecekleri bir sayfaya sahiptir.
Veriler ve hassas bilgiler birçok uygulamadan çalınıyor, sıkıştırılıyor ve tehdit aktörünün Telegram kanalına ve halka açık bir dosya paylaşım web sitesine yükleniyor. Sonuç olarak kullanıcılar, şüpheli PDF dosyalarını ve kimlik avı e-postalarını açmamaları konusunda uyarılıyor.