Специалисты по информационной безопасности из профильной компании Trend Micro сообщили о выявлении киберпреступной операции, в рамках которой устройства пользователей подвергаются попыткам заражения вредоносным программным обеспечением под названием Phemedrone. Эксперты подробно рассказали об этом на своём официальном сайте.
Аналитики Trend Micro утверждают, что Phemedrone представляет собой новейшее вредоносное ПО с открытым исходным кодом. Оно специализируется на похищении информации, сборе данные, хранящихся в веб-браузерах, криптовалютных кошельках и популярных приложениях, к примеру, Discord, Steam и Telegram. Собранные данные затем отправляются злоумышленникам, которые используют их для совершения других вредоносных действий или для продажи другим киберпреступникам.
Уязвимость в Microsoft Defender, эксплуатируемая в рамках хакерской кампании Phemedrone, имеет идентификатор CVE-2023-36025. Она уже была устранена в ходе выпуска пакета обновлений в ноябре 2023 года и была отмечена как «активно используемая в атаках».
По данным бюллетеня по безопасности CVE-2023-36025, пользователю необходимо кликнуть специально созданный ярлык в интернете (.URL) или гиперссылку, указывающую на файл ярлыка в сети, который скомпрометирован злоумышленником. Изначально о методах эксплуатации CVE-2023-36025 в реальных условиях было раскрыто немного информации. Однако вскоре после этого опубликованные экспериментальные эксплойты значительно увеличили риск для систем Windows, не защищённых патчами.
Исследователи из Trend Micro отмечают, что хакерская кампания Phemedrone не является единственной, которая нацелена на уязвимость CVE-2023-36025 в Windows. Существуют и другие случаи, связанные с программами-вымогателями.
Злоумышленники размещают вредоносные файлы URL-адресов в надёжных облачных сервисах, к примеру, в Discord и FireTransfer.io. Часто они маскируют эти файлы с помощью сервисов сокращения URL, например, shorturl.at.
Обычно, когда пользователь открывает файлы URL, загруженные из интернета или полученные по электронной почте, Windows SmartScreen выдаёт предупреждение о потенциальной опасности открытия файла. Однако, когда жертву обманом заставляют открыть один из вредоносных URL-файлов, используется уязвимость CVE-2023-36095 в Windows SmartScreen. Это приводит к тому, что предупреждающее сообщение не отображается, и злоумышленная команда выполняется автоматически.
Оригинал публикации на сайте CISOCLUB: "Хакеры эксплуатируют уязвимость в Windows SmartScreen для заражения пользовательских ПК вирусом Phemedrone".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
