.
Os criminosos estão explorando uma vulnerabilidade de desvio do Windows Defender SmartScreen para infectar PCs com Phemedrone Stealer, uma variedade de malware que verifica as máquinas em busca de informações confidenciais – senhas, cookies, tokens de autenticação, o que você quiser – para capturar e vazar.
O malware abusa do CVE-2023-36025, que a Microsoft corrigiu em novembro. Especificamente, a falha permite que o Phemedrone e outros softwares maliciosos contornem as proteções do Windows que deveriam ajudar os usuários a evitar a execução de código hostil. Quando Redmond emitiu uma correção, avisou que o bug já havia sido encontrado por malfeitores e explorado em liberdade.
Pouco depois de a Microsoft tapar a brecha, o patch passou por engenharia reversa para produzir uma exploração de prova de conceito. Agora que todos sabem como atacar sistemas usando essa vulnerabilidade, atualize suas máquinas Windows para fechar esse caminho, caso ainda não o tenha feito.
Em uma pesquisa publicada hoje, os pesquisadores da Trend Micro Peter Girnus, Aliakbar Zahravi e Simon Zuckerbraun detalham o ladrão de informações Phemedrone, incluindo como ele funciona, como usa o CVE-2023-36025 para infectar um PC e como detectar sua presença em um computador. rede.
Fomos informados de que o malware tem como alvo vários navegadores e aplicativos nos PCs das vítimas, coletando informações confidenciais de arquivos de interesse e enviando os dados para fraudadores explorarem. Esses alvos incluem navegadores baseados em Chromium, bem como LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile e Microsoft Authenticator. O Phemedrone procura coisas como senhas, cookies e informações de preenchimento automático para exfiltrar; uma vez que esses dados estão nas mãos dos operadores do malware, eles podem ser usados para fazer login nas contas online das vítimas e causar todos os tipos de danos e conflitos.
O código também rouba arquivos e outros dados de usuários de várias carteiras de criptomoedas e aplicativos de mensagens, incluindo Discord e Telegram, e detalhes de login da plataforma de jogos Steam.
Além disso, ele reúne um monte de telemetria, incluindo especificações de hardware, dados de geolocalização e informações do sistema operacional, e faz capturas de tela, enviando tudo isso aos invasores via Telegram ou para um servidor remoto de comando e controle.
Os criminosos infectam as máquinas das vítimas com Phemedrone, enganando as marcas para que baixem e abram um arquivo .url malicioso de, digamos, um site. Esse arquivo explora CVE-2023-36025 para escapar do Windows SmartScreen enquanto baixa e abre um arquivo .cpl, que é um item do painel de controle do Windows. O usuário não tem a chance de ser avisado pelo SmartScreen de que o arquivo .url é de uma fonte não confiável e que o que ele está fazendo é perigoso e deve ser bloqueado. Em vez disso, como resultado do bug explorado, o PC é infectado. Como disse a equipe Trend:
Parece que o .cpl obtido pelo .url é na verdade um .dll e começa a ser executado quando o item do painel de controle é aberto pelo Painel de Controle do Windows. Este .dll atua como um carregador que chama o PowerShell para executar o próximo estágio do ataque, que é obtido no GitHub.
Esse estágio é outro carregador do PowerShell chamado DATA3.txt, que baixa e abre um .zip também hospedado no GitHub. O arquivo contém três partes:
- WerFaultSecure.exe, que é um binário legítimo do Windows Fault Reporting.
- Wer.dll, um binário malicioso que é transferido quando WerFaultSecure.exe é executado.
- Secure.pdf, um carregador de segundo estágio criptografado com RC4 que, em última análise, traz o binário Phemedrone Stealer para o PC para execução.
Ao longo do processo, o malware utiliza diversas técnicas de ofuscação para mascarar seu conteúdo e evitar a detecção. O Phemedrone Stealer, quando executado, descriptografa os detalhes necessários para acessar a API do Telegram e inicia a exfiltração das informações da vítima.
Então, novamente, se você não fez isso em novembro, é hora de atualizar as instalações do Windows ou corre o risco de se tornar a próxima vítima desses ladrões de dados. ®
.
