Вредоносная кампания Phemedrone, похищающая информацию, использует уязвимость Microsoft Defender SmartScreen (CVE-2023-36025) для обхода подсказок безопасности Windows при открытии файлов URL.
Phemedrone - это новая вредоносная программа с открытым исходным кодом, которая собирает данные, хранящиеся в веб-браузерах, криптовалютных кошельках и таких программах, как Discord, Steam и Telegram. Затем эти данные отправляются обратно злоумышленникам для использования в других вредоносных действиях или для продажи другим угрожающим субъектам.
Дефект Microsoft Defender, эксплуатируемый в кампании Phemedrone, - CVE-2023-36025, который был исправлен во время Вторник патчей ноября 2023 годагде он был отмечен как активно используемый в атаках.
"Пользователю нужно было нажать на специально созданный ярлык Интернета (.URL) или гиперссылку, указывающую на файл ярлыка Интернета, чтобы быть скомпрометированным злоумышленником", - объясняет CVE-2023-36025 бюллетень безопасности.
Первоначально было сообщено не так много подробностей об эксплуатации CVE-2023-36025 в дикой природе, но опубликованные вскоре после этого эксплойты доказательств концепции повысили риск для непропатченных систем Windows.
Исследователи Trend Micro исследователи сообщают что кампания Phemedrone - не единственное семейство вредоносных программ, нацеленное на этот дефект в Windows, а в других случаях речь идет о программах-вымогателях.
Обход SmartScreen
Злоумышленники размещают вредоносные URL-файлы на надежных "облачных" сервисах, таких как Discord и FireTransfer.io, и часто маскируют их с помощью сервисов-укорачивателей, таких как shorturl.at.
Обычно при открытии URL-файлов, загруженных из Интернета или отправленных по электронной почте, Windows SmartScreen выводит предупреждение о том, что открытие файла может нанести вред компьютеру.
Однако, когда жертву обманом заставляют открыть один из вредоносных URL-файлов, они используют уязвимость CVE-2023-36095 в Windows SmartScreen, чтобы не показывать это предупреждение и автоматически выполнить команду.
URL-файл загружает файл элемента панели управления (.cpl) с сервера управления злоумышленника и выполняет его, запуская вредоносную полезную нагрузку DLL через rundll32.exe.
DLL представляет собой загрузчик PowerShell, который получает ZIP-файл из репозитория GitHub, содержащий загрузчик второго уровня, замаскированный под PDF-файл (Secure.pdf), легитимный двоичный файл Windows (WerFaultSecure.exe) и 'wer.dll', используемый в побочной загрузке DLL и для создания персистентности.
После запуска на зараженной системе Phemedrone инициализирует свою конфигурацию, расшифровывает необходимые элементы и похищает данные из целевых приложений, используя Telegram для эксфильтрации данных.
По данным Trend Micro, целью Phemedrone являются следующие приложения/данные:
Trend Micro опубликовала полный список индикаторов компрометации (IoC) для недавно замеченной кампании Phemedrone здесь.
Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!
Также ты можешь читать меня здесь:
- Телеграм: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru