Especialistas em segurança cibernética do Cyble Research and Intelligence Labs (CRIL) identificaram recentemente um site falso do AnyDesk (hxxp://anydesk[.]ml).
Eles descobriram que este site estava espalhando o Mitsu Stealer e é um malware sofisticado e personalizado de 64 bits. Este malware foi projetado principalmente para roubar todas as informações confidenciais de vítimas inocentes.
Um dos aspectos mais surpreendentes deste malware é que ele é construído a partir de código disponível gratuitamente no GitHub.
Atualmente, o site não esteve envolvido em nenhuma campanha de malvertising. No entanto, os meios utilizados pelos operadores deste site falso para fins promocionais são: –
- Malspam
- SMS
- Redes sociais
Cadeia de infecção
De acordo com relatório, Após clicar no botão Downloads no site de phishing, a cadeia de infecção começa e o usuário é infectado pelo malware entregue pelo site de phishing. O malware Mitsu Stealer foi baixado do servidor remoto da seguinte forma: –
É um 64 bits Windows arquivo executável baseado na GUI do Microsoft Visual C++/C++.
Há muita semelhança entre o site de phishing e o site genuíno do Anydesk no que diz respeito à sua aparência. Resumindo, os agentes da ameaça projetaram perfeitamente o site falso de phishing com todos os elementos presentes no site genuíno.
A seguir, mencionamos outros dois aspectos principais que os agentes da ameaça imitaram do original para tornar o site falso mais autêntico:-
- Seção de carreira com abertura de empregos falsos
Análise técnica
O Mitsu Stealer foi criado usando a linguagem de programação Python. O ladrão realiza as seguintes ações ilícitas quando é executado: –
- Elimina os arquivos de suporte do python (por exemplo, arquivos “.pyd” e “.dll”)
- Rouba informações confidenciais
- Exclui-os após execução bem-sucedida
Após a instalação do malware, ele criará uma lista dos processos em execução no sistema do computador do usuário. Para determinar os nomes dos processos associados à ferramenta de análise de rede, o programa examina os nomes dos processos.
Agora, para substituir a API/webhooks pelo MitsuTheGoat, o malware contorna o BetterDiscord. Depois disso, do sistema infectado da vítima, o ladrão coleta todos os dados confidenciais como: –
- Nomes de usuário
- Senhas
- Biscoitos
- Preenchimento automático
- Perfis de usuário
O malware também tem como alvo carteiras de criptomoedas e outras carteiras para roubar informações financeiras e abusar delas para obter ganhos financeiros. Para extração de dados, as seguintes consultas SQL são usadas pelo malware: –
- SELECIONE host_key, nome, valor_criptografado dos cookies
- SELECIONE action_url, username_value, password_value FROM logins
Navegadores direcionados
Abaixo, mencionamos todos os navegadores visados pelo ladrão para roubar dados do usuário: –
- Google Chrome
- Microsoft borda
- Opera GX estável
- Ópera estável
- Mozilla Firefox
Para coletar tokens Discord, o malware lê e extrai os seguintes arquivos de vários locais do sistema: –
O malware então cria um despejo JSON que envia os dados roubados para um webhook do Discord. Posteriormente, o ladrão baixa um arquivo JavaScript chamado index.js para conduzir a atividade ilícita desejada pelos atores da ameaça.
Recomendações
Aqui abaixo mencionamos todas as recomendações: –
- Certifique-se de não baixar ferramentas ou software pirata.
- As senhas devem ser fortes
- A autenticação multifator deve ser implementada
- Ative o recurso de atualização automática de software
- Certifique-se de usar um programa antivírus confiável
- Não abra links ou anexos não confiáveis em e-mails
- Habilite soluções DLP
Leia também: Baixe Filtragem Segura da Web – Gratuita Livro eletrônico
