Το νέο κακόβουλο λογισμικό που παρακάμπτει το Windows SmartScreen είναι πεινασμένο για τα δεδομένα σας και τα θέλει όλα
Οι ερευνητές από την Trend Micro ανακάλυψαν ένα άγνωστο στέλεχος κακόβουλου λογισμικού, που ονομάστηκε Phemedrone Stealer, το οποίο εκμεταλλεύεται ενεργά την ευπάθεια του Windows Defender SmartScreen που έχει ήδη διορθωθεί.
CVE-2023-36025
Εβδομάδα Ασφαλείας
Αναφορές
.
Το Phemedrone Stealer είναι ένα κακόβουλο λογισμικό συλλογής δεδομένων που εστιάζει σε μια ποικιλία συγκεκριμένων τύπων αρχείων και πληροφοριών σε ένα ευρύ φάσμα δημοφιλών προϊόντων λογισμικού – προγράμματα περιήγησης, διαχειριστές αρχείων και
πλατφόρμες
επικοινωνίας, μεταξύ άλλων.
Το κακόβουλο λογισμικό συλλέγει ακόμη εκτενείς λεπτομέρειες συστήματος (συμπεριλαμβανομένων δεδομένων γεωγραφικής τοποθεσίας όπως IP, χώρα, πόλη και ταχυδρομικός κώδικας) σχετικά με τα Windows 10 ή 11 και λαμβάνει στιγμιότυπα οθόνης στη διαδικασία.
Το Trend Micro παραθέτει συγκεκριμένα
τους ακόλουθους στόχους:
-
Προγράμματα περιήγησης που βασίζονται σε Chromium. Το κακόβουλο λογισμικό συλλέγει δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης, cookie και πληροφοριών αυτόματης συμπλήρωσης που είναι αποθηκευμένες σε εφαρμογές όπως το LastPass, το KeePass, το NordPass, το Google Authenticator, το Duo
Mobile
και το Microsoft Authenticator, μεταξύ άλλων. -
Κρυπτοπορτοφόλια. Εξάγει αρχεία από διάφορες εφαρμογές πορτοφολιών
κρυπτο
νομισμάτων όπως Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum,
Exodus
και Guarda. - Διχόνοια. Το Phemedrone εξάγει διακριτικά ελέγχου ταυτότητας από την εφαρμογή Discord, επιτρέποντας μη εξουσιοδοτημένη πρόσβαση στο λογαριασμό του χρήστη.
-
FileGrabber. Το κακόβουλο λογισμικό χρησιμοποιεί αυτήν την υπηρεσία για να συγκεντρώσει αρχεία χρήστη από καθορισμένους φακέλους, όπως Documents and
Desktop
. - FileZilla. Το Phemedrone καταγράφει λεπτομέρειες και διαπιστευτήρια σύνδεσης FTP από το FileZilla.
- Είδος μικρής σαύρας. Το κακόβουλο λογισμικό στοχεύει προγράμματα περιήγησης που βασίζονται σε Gecko για εξαγωγή δεδομένων χρήστη. (Το Firefox είναι το πιο δημοφιλές.)
- Πληροφορίες συστήματος. Το Phemedrone συλλέγει εκτενείς λεπτομέρειες συστήματος, συμπεριλαμβανομένων των προδιαγραφών υλικού, της γεωγραφικής θέσης και των πληροφοριών του λειτουργικού συστήματος, και λαμβάνει στιγμιότυπα οθόνης.
- Ατμός. Το Phemedrone έχει πρόσβαση σε αρχεία που σχετίζονται με την πλατφόρμα παιχνιδιών Steam.
- Τηλεγράφημα. Το κακόβουλο λογισμικό εξάγει δεδομένα χρήστη από τον κατάλογο εγκατάστασης, στοχεύοντας συγκεκριμένα αρχεία που σχετίζονται με τον έλεγχο ταυτότητας εντός του φακέλου “tdata”. Αυτό περιλαμβάνει την αναζήτηση αρχείων με βάση το μέγεθος και τα μοτίβα ονομασίας.
Ένα διάνυσμα επίθεσης σε αυτήν την περίπτωση αντιπροσωπεύεται από δημιουργημένα αρχεία .url που κατεβάζουν και εκτελούν κακόβουλα σενάρια, παρακάμπτοντας το Windows Defender SmartScreen στη διαδικασία. Επομένως, ο χρήστης που εξαπατήθηκε για να ανοίξει ένα επικίνδυνο αρχείο δεν θα δει μια προειδοποίηση SmartScreen ότι αυτός ο τύπος αρχείου μπορεί ενδεχομένως να βλάψει τον υπολογιστή.
Μόλις το κακόβουλο λογισμικό αποφύγει τον εντοπισμό, κατεβάζει το ωφέλιμο φορτίο και δημιουργεί μόνιμη παρουσία στο σύστημα.
Στη συνέχεια, ακολουθεί η αναζήτηση συγκεκριμένων αρχείων και πληροφοριών. Τα συγκεντρωμένα δεδομένα αποστέλλονται στους χάκερ μέσω του API του Telegram, μιας δημοφιλής πλατφόρμας επικοινωνίας άμεσων μηνυμάτων σε ορισμένες χώρες σε όλο τον κόσμο. Οι πληροφορίες συστήματος αποστέλλονται πρώτα, ακολουθούμενες από ένα συμπιεσμένο αρχείο ZIP που περιέχει όλα τα δεδομένα που συλλέγονται.
Τα καλά νέα είναι ότι η Microsoft έχει ήδη αντιμετωπίσει την ευπάθεια CVE-2023-36025 στις 14 Νοεμβρίου. Επομένως, η διατήρηση της απαραίτητης υγιεινής πληροφορικής και η τακτική εφαρμογή των πιο πρόσφατων ενημερώσεων κώδικα ασφαλείας θα πρέπει να σας προστατεύει – σε αντίθεση με την περίπτωση πολλών τρωτών σημείων zero-day που ζουν στο άγριο, που δεν έχει ακόμα εξημερωθεί.
Πηγή:
Trend Micro
μέσω
Εβδομάδα ασφαλείας
VIA:
NeoWin.net
