FortiGuard實驗室揭露新的電子郵件網絡釣魚活動

FortiGuard實驗室的網絡安全研究人員揭露了一種新的電子郵件網絡釣魚活動，該活動利用虛假酒店預訂來引誘毫無戒心的受害者。網絡釣魚攻擊涉及部署惡意PDF文件，該文件一旦打開，就會引發一系列事件，導致MrAnon Stealer惡意軟件被激活。

攻擊者沒有依賴復雜的技術細節，而是狡猾地冒充酒店預訂公司，發送主題為“12月客房可用性查詢”的網絡釣魚電子郵件。電子郵件正文包含捏造的假日季節預訂詳細信息，惡意PDF文件隱藏了下載器鏈接。

經過仔細檢查，FortiGuard實驗室的網絡安全專家發現了一個涉及.NET可執行文件、PowerShell腳本和欺騙性Windows窗體演示的多階段過程。攻擊者冒充酒店預訂公司，巧妙地穿越這些階段，使用虛假錯誤消息等策略來掩蓋惡意軟件的成功執行。

MrAnon Stealer是一個基于Python的信息竊取程序，運行謹慎，使用cx-Freeze壓縮其活動以繞過檢測機制。該惡意軟件執行細致的過程，包括捕獲屏幕截圖、檢索IP地址以及從各種應用程序竊取敏感數據。

攻擊者通過終止受害者系統上的特定進程并偽裝成合法連接來獲取IP地址、國家/地區名稱和國家/地區代碼來展示其復雜性。被盜數據（包括憑據、系統信息和瀏覽器會話）被壓縮、使用密碼保護，并上傳到公共文件共享網站。

根據FortiGuard Labs的博客文章，MrAnon Stealer可以從加密貨幣錢包、瀏覽器和消息應用程序（例如Discord、Discord Canary、Element、Signal和Telegram Desktop）收集信息。此外，它還針對NordVPN、ProtonVPN和OpenVPN Connect等VPN客戶端。

至于它的指揮和控制；攻擊者使用Telegram頻道作為通信媒介。被盜數據、系統信息和下載鏈接將使用機器人令牌發送到攻擊者的Telegram頻道。

該活動在2023年11月期間活躍且激進，主要針對德國，這一時期下載器URL的查詢量激增就表明了這一點。此次行動背后的網絡犯罪分子展示了一種戰略方法，從7月和8月的Cstealer轉向10月和11月更強大的MrAnon Stealer。

如果您在線，那么您很容易受到攻擊。因此，建議用戶在處理意外電子郵件時保持謹慎，尤其是那些包含可疑附件的電子郵件。謹慎和常識是阻止網絡犯罪分子利用人類漏洞和危害在線安全的關鍵。