Według badaczy cyberbezpieczeństwa Roaming Mantis, operacja złośliwego oprogramowania na Androida (otwiera się w nowej karcie), której celem jest kradzież poufnych danych, a potencjalnie nawet pieniędzy od swoich ofiar, jest obecnie atakowana przez Francuzów.
Przed atakiem na Francuzów wędrowna modliszka atakowała ludzi w Niemczech, Tajwanie, Korei Południowej, Japonii, Stanach Zjednoczonych i Wielkiej Brytanii, donosi BleepingComputer.
To nie to samo co botnet Mantis, który niedawno stał się jednym z największych i najpotężniejszych botnetów w historii.
Dziesiątki tysięcy ofiar
Operacja migracji została wykryta przez badaczy cyberbezpieczeństwa SEKOIA. Po przeanalizowaniu kampanii badacze stwierdzili, że metodologia niewiele się zmieniła: ofiary najpierw otrzymywały SMS-a i w zależności od tego, czy były użytkownikami iOS czy Androida, były przekierowywane na różne strony.
Użytkownicy Apple byliby przekierowywani na stronę phishingową, na której atakujący próbowaliby nakłonić ich do podania danych uwierzytelniających, podczas gdy użytkownicy Androida byliby proszeni o pobranie XLoader (MoqHao), potężnego szkodliwego oprogramowania, które umożliwia atakującym zdalny dostęp do zaatakowanego urządzenia. dostęp do danych wrażliwych, a także aplikacji SMS (ewentualnie w celu dalszego rozszerzenia działania).
Naukowcy uważają, że Roaming Mantis udał się do Francji w lutym 2022 roku. Użytkownicy spoza kraju, którzy otrzymują SMS, są bezpieczni, ponieważ serwery wyświetlają błąd 404 i powstrzymają atak.
Kampania jest najwyraźniej prawdziwym sukcesem, ponieważ jak dotąd ponad 90,000 XNUMX unikalnych adresów IP pobrało XLoader z głównego serwera dowodzenia i kontroli, jak stwierdzili naukowcy. Z użytkownikami iOS w miksie liczba rośnie jeszcze bardziej, ale niestety nie da się tego określić.
Roaming Mantis jest również bardzo dobry w utrzymywaniu niskiego profilu i unikaniu rozwiązań antywirusowych. Pobiera ustawienia C2 z celów profilu Imgur zakodowanych w base64.
Poza tym infrastruktura kampanii jest zasadniczo taka sama, jak w kwietniu, kiedy była ostatnio analizowana, zgodnie z postem. Serwery zawsze mają otwarte porty na TCP/443, TCP/5985, TCP/10081 i TCP/47001 i używają tych samych certyfikatów.
„Domeny używane w wiadomościach SMS są albo zarejestrowane w GoDaddy, albo korzystają z dynamicznych usług DNS, takich jak duckdns.org”, powiedział SEKOIA.
Przez: BleepingComputer (Otwiera się w nowej karcie)
