Firma Trend Micro informuje w swoim raporcie o luce w zabezpieczeniach Windows SmartScreen, która jest aktywnie wykorzystywana w atakach prowadzących do infekcji oprogramowaniem Phemedrone Stealer.
Luka bezpieczeństwa CVE-2023-36025 (CVSS 8,8) została ujawniona 14 listopada 2023 r., wraz z patchem opublikowanym przez Microsoft. Według informacji Microsoftu błąd można wykorzystać, wysyłając do użytkownika spreparowany link (URL) i przekonując odbiorcę, aby go kliknął. Po kliknięciu „Napastnik byłby w stanie ominąć kontrole Windows Defender SmartScreen i powiązane z nimi monity”.
Czym jest Phemedrone Stealer?
Firma Trend Micro zauważyła, że złośliwa kampania Phemedrone Stealer aktywnie wykorzystuje podatność CVE-2023-36025 w celu dostarczania nieznanej wcześniej odmiany złośliwego oprogramowania, która może zbierać ogromne ilości informacji z zainfekowanych systemów. Napisany w języku C# Phemedrone Stealer oprócz kradzieży danych z przeglądarek internetowych, portfeli kryptowalut i różnych aplikacji do przesyłania wiadomości (w tym Telegram, Steam i Discord), wykonuje zrzuty ekranu i zbiera informacje o systemie, w tym szczegóły sprzętu i dane o lokalizacji. Zebrane informacje są następnie eksfiltrowane za pośrednictwem Telegramu lub do serwera dowodzenia i kontroli (C&C) przestępców.
Listę IOC powiązaną z infekcją Phemedrone Stealera udostępniono pod adresem: https://documents.trendmicro.com/images/TEx/20240111-cve-2023%E2%80%9336025-phemedrone-iocs8L7B0q0.txt