Операция вымогателя REvil прекращена неизвестным линчевателем

По словам исследователей кибербезопасности, Roaming Mantis, вредоносное ПО для Android (открывается в новой вкладке), целью которого является кража конфиденциальных данных и, возможно, даже денег у своих жертв, теперь нацелена на французов.

Прежде чем атаковать французов, Бродячий богомол атаковал людей в Германии, Тайване, Южной Корее, Японии, США и Великобритании, сообщает BleepingComputer.

Это не то же самое, что ботнет Mantis, который недавно стал одним из самых крупных и мощных ботнетов в истории.

Десятки тысяч жертв

Операция миграции была обнаружена исследователями кибербезопасности SEKOIA. Проанализировав кампанию, исследователи обнаружили, что методология практически не изменилась: жертвы сначала получали SMS и, в зависимости от того, были ли они пользователями iOS или Android, их перенаправляли на разные сайты.

Пользователи Apple будут перенаправлены на фишинговую страницу, где злоумышленники попытаются обманом заставить их предоставить свои учетные данные, а пользователям Android будет предложено загрузить XLoader (MoqHao), мощную вредоносную программу, которая позволяет злоумышленникам удаленно получить доступ к скомпрометированному устройству. доступ к конфиденциальным данным, а также к SMS-приложениям (возможно, для дальнейшего расширения операции).

Исследователи полагают, что бродячий богомол побывал во Франции в феврале 2022 года. Пользователи за пределами страны, получившие SMS, находятся в безопасности, так как серверы отобразят ошибку 404 и прекратят атаку.

Кампания, по-видимому, имеет настоящий успех, так как исследователи обнаружили, что более 90,000 XNUMX уникальных IP-адресов загрузили XLoader с главного командно-контрольного сервера. С пользователями iOS в миксе число увеличивается еще больше, но, к сожалению, это невозможно определить.

Roaming Mantis также очень хорошо умеет вести себя сдержанно и избегать антивирусных решений. Было сказано, что он получает конфигурацию C2 из целей профиля Imgur, закодированных в base64.

В остальном инфраструктура кампании практически не изменилась по сравнению с апрелем, когда она анализировалась в последний раз. Серверы всегда имеют открытые порты TCP/443, TCP/5985, TCP/10081 и TCP/47001 и используют одни и те же сертификаты.

«Домены, используемые в SMS-сообщениях, либо зарегистрированы в Godaddy, либо используют службы динамического DNS, такие как duckdns.org», — сказали в SEKOIA.

Через: BleepingComputer (открывается в новой вкладке)

Поделиться