MrAnon Stealer

MrAnon Stealerは、名前が示す通り、インフォスティーラー型マルウェアです。
休暇の時期が近くなってきているこの時期に、活動が活性化している脅威の一つです。
どんなものなのでしょうか。

• 入口はメール
  この脅威はメールで始まります。
  攻撃者は、ホテルの部屋を予約しようとしている会社を装い、「12 月の空室状況の問い合わせ」という件名のフィッシングメールを送信します。
  本文には、ホリデーシーズンの偽のホテル予約の詳細が含まれています。

   

• メールには添付ファイル
  メールの本文ではそれっぽい仕上がりで予約に関する問い合わせの内容が記述されています。
  そしてその問い合わせの内容に関連する形式の添付ファイルが添えられていて、添付ファイルを開いて内容を確認したくなる仕上がりになっています。

   

• 添付ファイルはPDF
  添付ファイルはPDFファイルです。
  PDFファイルを語った別のファイルではなく、PDFファイルです。
  しかしこのPDFファイルには、ストリームオブジェクトが含まれていて、その部分にURLが含まれています。

   

• PDFを開くと攻撃開始
  PDFを開くと、ストリームオブジェクトが読み込まれ、攻撃活動が開始されます。
  PowerShellスクリプトが展開されて動作し、PythonベースのインフォスティーラーであるMrAnon Stealerを設置します。
  その際に、Python.exeがありませんでした、といった類のダイアログを画面に表示させ、マルウェアの感染が起ころうとしたけれども成り立ちませんでした、というようなポーズも行われます。
  実際には、その嘘の失敗ダイアログの裏側ではマルウェアの活動は継続されています。

   

• 情報の持ち出し
  そしてマルウェアは、認証情報、システム情報、ブラウザセッションなどの盗まれたデータを圧縮し、パスワードで保護して、公開ファイル共有Webサイトにアップロードします。
  MrAnon Stealerは暗号通貨ウォレット、ブラウザ、メッセージングアプリ（Discord、Discord Canary、Element、Signal、Telegram Desktopなど）から情報を収集できます。
  さらに、NordVPN、ProtonVPN、OpenVPN ConnectなどのVPNクライアントもターゲットです。
  持ち出し方法は、Telegramです。
  持ち出す通信も暗号化されていますので、通信内容を解釈して持ち出しを判定することはできそうにありません。

問い合わせメールの添付ファイルのPDFファイルを開いただけなのに、残念な事態になってしまいます。
小さな油断が大きな問題となってしまったというケースでした。

参考記事（外部リンク）：MrAnon Stealer Spreads via Email with Fake Hotel Booking
PDF
www.fortinet.com/blog/threat-research/mranon-stealer-spreads-via-email-with-fake-hotel-booking-pdf