Secondo i ricercatori di sicurezza informatica, Roaming Mantis, un'operazione malware Android (si apre in una nuova scheda) che mira a rubare dati sensibili e potenzialmente anche denaro dalle sue vittime, sta prendendo di mira i francesi.
Prima di prendere di mira i francesi, i Roaming Mantis hanno attaccato persone in Germania, Taiwan, Corea del Sud, Giappone, Stati Uniti e Regno Unito, riporta BleepingComputer.
Non è la stessa della botnet Mantis, recentemente emersa come una delle botnet più grandi e potenti della storia.
Decine di migliaia di vittime
L'operazione di migrazione è stata rilevata dai ricercatori di sicurezza informatica SEKOIA. Dopo aver analizzato la campagna, i ricercatori hanno scoperto che la metodologia non è cambiata molto: le vittime hanno prima ricevuto un SMS e, a seconda che fossero utenti iOS o Android, sono state reindirizzate a siti diversi.
Gli utenti Apple verrebbero reindirizzati a una pagina di phishing in cui gli aggressori cercherebbero di indurli con l'inganno a fornire le proprie credenziali, mentre agli utenti Android verrebbe chiesto di scaricare XLoader (MoqHao), un potente malware che consente agli aggressori di accedere in remoto al dispositivo compromesso. accedere a dati sensibili e applicazioni SMS (possibilmente per estendere ulteriormente l'operazione).
I ricercatori ritengono che il Roaming Mantis si sia recato in Francia nel febbraio 2022. Gli utenti al di fuori del Paese che ricevono l'SMS sono al sicuro, poiché i server visualizzeranno un 404 e fermeranno l'attacco.
Apparentemente, la campagna è un vero successo, poiché finora oltre 90,000 indirizzi IP univoci hanno scaricato XLoader dal server principale di comando e controllo, hanno scoperto i ricercatori. Con gli utenti iOS nel mix, il numero aumenta ancora di più ma, sfortunatamente, è impossibile determinarlo.
Roaming Mantis è anche molto bravo a mantenere un basso profilo ed evitare soluzioni antivirus. Ottiene le impostazioni C2 dai target del profilo Imgur con codifica base64, ha detto.
A parte questo, l'infrastruttura della campagna è essenzialmente la stessa, rispetto ad aprile quando è stata analizzata l'ultima volta, secondo il post. I server hanno sempre porte aperte su TCP/443, TCP/5985, TCP/10081 e TCP/47001 e utilizzano gli stessi certificati.
"I domini utilizzati nei messaggi SMS sono registrati con Godaddy o utilizzano servizi DNS dinamici come duckdns.org", ha affermato SEKOIA.
Via: BleepingComputer (si apre in una nuova scheda)