Roaming Mantis, una operación de malware de Android (se abre en una nueva pestaña) que tiene como objetivo robar datos confidenciales, y potencialmente incluso dinero, de sus víctimas, ahora se dirige a los franceses, según los investigadores de seguridad cibernética.
Antes de apuntar a los franceses, Roaming Mantis atacó a personas en Alemania, Taiwán, Corea del Sur, Japón, Estados Unidos y el Reino Unido, informa BleepingComputer.
No es lo mismo que la red de bots Mantis, que recientemente surgió como una de las redes de bots más grandes y poderosas de la historia.
Decenas de miles de víctimas
La operación de migración fue detectada por investigadores de ciberseguridad de SEKOIA. Después de analizar la campaña, los investigadores encontraron que la metodología no cambió mucho: las víctimas primero recibieron un SMS y, dependiendo de si eran usuarios de iOS o Android, fueron redirigidos a diferentes sitios.
Los usuarios de Apple serían redirigidos a una página de phishing donde los atacantes intentarían engañarlos para que proporcionen sus credenciales, mientras que a los usuarios de Android se les pediría que descargaran XLoader (MoqHao), una poderosa pieza de malware que permite a los atacantes acceder de forma remota al dispositivo comprometido. acceder a datos confidenciales, así como a aplicaciones de SMS (posiblemente para ampliar aún más la operación).
Los investigadores creen que Roaming Mantis viajó a Francia en febrero de 2022. Los usuarios fuera del país que reciben el SMS están seguros, ya que los servidores mostrarán un 404 y detendrán el ataque.
Aparentemente, la campaña es un verdadero éxito, ya que más de 90,000 direcciones IP únicas han descargado XLoader desde el servidor principal de comando y control hasta el momento, encontraron los investigadores. Con los usuarios de iOS en la mezcla, el número aumenta aún más pero, desafortunadamente, es imposible de determinar.
Roaming Mantis también es muy bueno para mantener un perfil bajo y evitar las soluciones antivirus. Obtiene la configuración C2 de destinos de perfil Imgur codificados en base64, se dijo.
Aparte de eso, la infraestructura de la campaña es esencialmente la misma, en comparación con abril, cuando se analizó por última vez, según la publicación. Los servidores siempre tienen puertos abiertos en TCP/443, TCP/5985, TCP/10081 y TCP/47001 y utilizan los mismos certificados.
"Los dominios utilizados en los mensajes SMS están registrados con Godaddy o utilizan servicios de DNS dinámicos como duckdns.org", dijo SEKOIA.
Через: BleepingComputer (открывается в новой вкладке)