Фишинг на грани: фейковое обновление Adobe Flash Player служит каналом распространения MrAnon Stealer

Исследователи безопасности из Fortinet обнаружили новую фишинговую кампанию, нацеленную на пользователей из Германии, которая массово распространяет вредоносное программное обеспечение MrAnon Stealer.

Кара Лин, исследователь FortiGuard Labs, объяснила, что MrAnon Stealer — это похититель информации на базе Python, сжатый с помощью cx-Freeze для обхода обнаружения. Программа крадёт учётные данные, системную информацию, перехватывает браузерные сессии и данные из расширений для криптовалют.

Полученные специалистами сведения указывают на то, что основной целью этой атаки, по состоянию на ноябрь 2023 года, является Германия. Фишинговые письма маскируются под запросы о бронировании гостиничных номеров, а вложенный PDF-файл при открытии предлагает получателю скачать якобы обновлённую версию Flash Player, что весьма забавно, так как поддержка этого ПО уже несколько лет официально прекращена самой компанией Adobe.

Согласие ведёт к скачиванию и запуску .NET-исполняемых файлов и PowerShell-скриптов, которые в итоге и запускают MrAnon Stealer, собирающий данные из различных приложений и передающий их злоумышленникам.

Вредоносное ПО также умеет перехватывать информацию из мессенджеров, VPN-клиентов и выгружать файлы с определёнными расширениями. За подобный функционал автор инфостилера, который открыто распространяет его на киберпреступных форумах, просит 500 долларов в месяц. Цена может варьироваться от выбора заказчиком дополнительных опций по типу скрытого загрузчика или шифровальщика.

Как сообщают исследователи, вредоносная кампания изначально распространяла вредонос Cstealer в июле и августе, но затем перешла к распространению MrAnon Stealer в октябре и ноябре. Это свидетельствует о стратегическом подходе, включающем адаптацию под текущую ситуацию в сфере кибербезопасного ПО. Тем не менее, канал распространения вредоносов остаётся неизменным — фишинговые электронные письма.

Исследование Fortinet в очередной раз демонстрирует, насколько важно быть бдительными в отношении фишинговых атак и вредоносного ПО, а также обладать базовыми знаниями о текущей ситуации на рынке программного обеспечения. Ведь если бы жертвы знали, что никакого обновления Flash Player в 2023 году просто не может быть, они не нажали бы злополучную кнопку и сохранили свои данные в безопасности.

Чтобы защитить себя от подобных угроз, нужно проявлять осторожность при открытии вложений и ссылок из сомнительных источников. Лучшим решением будет и вовсе не открывать их. А использование надёжного антивирусного ПО, как и регулярное обновление системы и софта, поможет дополнительно повысить шансы на сохранность данных.