ΑρχικήSecurityΤο Phemedrone malware εκμεταλλεύεται ευπάθεια στο Microsoft Defender SmartScreen

Το Phemedrone malware εκμεταλλεύεται ευπάθεια στο Microsoft Defender SmartScreen

Μια κακόβουλη καμπάνια που διανέμει το info-stealer malware (malware κλοπής πληροφοριών) Phemedrone εκμεταλλεύεται μια ευπάθεια του Microsoft Defender SmartScreen (CVE-2023-36025) για να παρακάμψει τις ειδοποιήσεις ασφαλείας των Windows κατά το άνοιγμα αρχείων URL.

Phemedrone malware

Το Phemedrone είναι ένα νέο κακόβουλο λογισμικό για κλοπή πληροφοριών. Συλλέγει δεδομένα που είναι αποθηκευμένα σε browsers, crypto wallets και σε λογισμικό όπως το Discord, το Steam και το Telegram. Τα κλεμμένα δεδομένα αποστέλλονται στους επιτιθέμενους και μπορούν να χρησιμοποιηθούν για άλλες κακόβουλες δραστηριότητες ή να πωληθούν σε κάποιο hacking forum.

Η ευπάθεια του Microsoft Defender που χρησιμοποιείται για τη διανομή του Phemedrone malware, παρακολουθείται ως CVE-2023-36025. Διορθώθηκε από τη Microsoft στο Patch Tuesday Νοεμβρίου 2023.

Δείτε επίσης: Windows 11: Οι νέες λειτουργίες που θα έρθουν το 2024

Σύμφωνα με την εταιρεία, η παραβίαση της συσκευής του θύματος γίνεται ως εξής: ο χρήστης κάνει κλικ σε ένα ειδικά διαμορφωμένο Internet Shortcut (.URL) ή σε έναν υπερσύνδεσμο που οδηγεί σε ένα Internet Shortcut file.

Αν και η ευπάθεια είχε αρχίσει να χρησιμοποιείται σε επιθέσεις, η Microsoft δεν έδωσε αρχικά πολλές λεπτομέρειες. Ωστόσο, σύντομα κυκλοφόρησαν proof-of-concept exploits, αυξάνοντας τον κίνδυνο για τα συστήματα Windows που δεν είχαν εφαρμόσει τις ενημερώσεις.

Η Trend Micro λέει ότι το Phemedrone δεν ήταν το μόνο malware που εκμεταλλεύτηκε αυτή την ευπάθεια στα Windows. Εντοπίστηκαν και ransomware.

Παράκαμψη του Microsoft Defender SmartScreen

Αρχικά, οι επιτιθέμενοι φιλοξενούν τα κακόβουλα αρχεία URL σε αξιόπιστες υπηρεσίες cloud όπως το Discord και το FireTransfer.io και συχνά τα κρύβουν χρησιμοποιώντας υπηρεσίες συντομεύσεων όπως το shorturl.at.

Συνήθως, κατά το άνοιγμα αρχείων URL που έχουν ληφθεί από το διαδίκτυο ή αποστέλλονται μέσω email, το Windows SmartScreen εμφανίζει μια προειδοποίηση για τους κινδύνους που μπορεί να φέρει το άνοιγμα του αρχείου για τη συσκευή.

Ωστόσο, σε αυτή την περίπτωση, που γίνεται εκμετάλλευση της ευπάθειας CVE-2023-36095 στο Windows SmartScreen, οι χρήστες ανοίγουν τα κακόβουλα αρχεία χωρίς να εμφανίζεται η προειδοποίηση. Και έτσι η εντολή εκτελείται αυτόματα.

SmartScreen
Το Phemedrone malware εκμεταλλεύεται ευπάθεια στο Microsoft Defender SmartScreen

Το αρχείο URL κατεβάζει, στη συνέχεια, ένα control panel item (.cpl) file από τον διακομιστή ελέγχου του εισβολέα και το εκτελεί, εκκινώντας ένα κακόβουλο DLL payload μέσω του rundll32.exe.

Δείτε επίσης: Microsoft: Ενημέρωση του Windows 10 WinRE με διορθώσεις BitLocker

Το DLL είναι ένα PowerShell loader που ανακτά ένα αρχείο ZIP από ένα GitHub repository. Εκεί βρίσκεται το loader δεύτερου σταδίου που είναι μεταμφιεσμένο σε αρχείο PDF (Secure.pdf), ένα νόμιμο Windows binary των Windows (WerFaultSecure.exe) και το “wer.dll”. Το τελευταίο χρησιμοποιείται για DLL side-loading και για να εδραιωθεί persistence.

Μόλις εκκινηθεί στο παραβιασμένο σύστημα, το Phemedrone malware αποκρυπτογραφεί τα απαραίτητα στοιχεία και κλέβει δεδομένα, χρησιμοποιώντας το Telegram για εξαγωγή δεδομένων.

Η Trend Micro αναφέρει ότι το Phemedrone στοχεύει τις ακόλουθες εφαρμογές/δεδομένα:

  • Προγράμματα περιήγησης Chromium: Συγκεντρώνει κωδικούς πρόσβασης, cookies και αυτόματη συμπλήρωση από προγράμματα περιήγησης και εφαρμογές ασφαλείας όπως το LastPass, το KeePass, το Microsoft Authenticator και το Google Authenticator.
  • Προγράμματα περιήγησης Gecko: Κλέβει δεδομένα χρήστη από προγράμματα περιήγησης που βασίζονται σε Gecko, όπως ο Firefox.
  • Crypto wallets: Εξάγει δεδομένα από διάφορες εφαρμογές πορτοφολιών κρυπτογράφησης (π.χ. Atom, Armory, Electrum και Exodus).
  • Discord: Αποκτά μη εξουσιοδοτημένη πρόσβαση εξάγοντας authentication tokens.
  • Πληροφορίες συστήματος: Συγκεντρώνει στοιχεία που σχετίζονται με το hardware, τη γεωγραφική θέση, λεπτομέρειες λειτουργικού συστήματος και στιγμιότυπα οθόνης.
  • FileGrabber: Συλλέγει αρχεία χρήστη από φακέλους όπως Documents και Desktop.
  • FileZilla: Καταγράφει λεπτομέρειες και credentials FTP.
  • Steam: Έχει πρόσβαση σε αρχεία που σχετίζονται με την πλατφόρμα.
  • Telegram: Εξάγει δεδομένα χρήστη, εστιάζοντας στα αρχεία ελέγχου ταυτότητας στο φάκελο “tdata”.

Γενικοί κίνδυνοι εκμετάλλευσης της ευπάθειας

Ο πρώτος κίνδυνος που προκύπτει από την εκμετάλλευση του σφάλματος του SmartScreen είναι η δυνατότητα εγκατάστασης κακόβουλου λογισμικού στον υπολογιστή του χρήστη (όπως συμβαίνει ήδη με το Phemedrone malware).

Δείτε επίσης: Windows 10: Η ενημέρωση ασφαλείας KB5034441 παρουσιάζει σφάλματα

Επιπλέον, η εκμετάλλευση της ευπάθειας μπορεί να οδηγήσει στην παραβίαση της ιδιωτικότητας του χρήστη. Το κακόβουλο λογισμικό μπορεί να παρακολουθεί την δραστηριότητα του χρήστη, να κλέβει προσωπικές πληροφορίες, όπως κωδικοί πρόσβασης και στοιχεία πιστωτικών καρτών και να τα μεταφέρει σε τρίτους.

Τέλος, αυτό το ζήτημα μπορεί να οδηγήσει σε απώλεια εμπιστοσύνης από τους χρήστες προς το λειτουργικό σύστημα Windows και τις τεχνολογίες ασφαλείας της Microsoft. Αυτό μπορεί να έχει σημαντικές επιπτώσεις για την εταιρεία, καθώς οι χρήστες μπορεί να αποφασίσουν να μεταβούν σε άλλες πλατφόρμες.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS