Phemedrone Stealer

A Trend Micro olyan bizonyítékokat fedezett fel, amelyek a CVE-2023-36025 aktív kihasználására utalnak, hogy a Phemedrone Stealer nevű, korábban ismeretlen kártevő törzsével fertőzzék meg a felhasználókat.

A Phemedrone webböngészőket és kriptopénz-tárcákból és üzenetküldő alkalmazásokból, például Telegramból, Steamből és Discordból származó adatokat vesz célba. Emellett képernyőfotókat készít, és rendszerinformációkat gyűjt a hardverre, a tartózkodási helyre és az operációs rendszer adataira vonatkozóan. Az ellopott adatokat ezután a támadóknak küldi el a Telegramon vagy a parancs- és vezérlő (C&C) szerveren keresztül. Ez a nyílt forráskódú lopás C# nyelven íródott, és aktívan karbantartják a GitHubon és a Telegramon.

A CVE-2023-36025 a Microsoft Windows Defender SmartScreen-t érinti, és az Internet Shortcut (.url) fájlokra vonatkozó ellenőrzések és a kapcsolódó kérések hiányából ered. A fenyegető szereplők kihasználhatják ezt a sebezhetőséget olyan .url fájlok létrehozásával, amelyek letöltik és végrehajtják a Windows Defender SmartScreen figyelmeztetését és ellenőrzéseit megkerülő rosszindulatú szkripteket.

A Microsoft 2023. november 14-én javította a CVE-2023-36025-öt. A vadonban történő kihasználás bizonyítékai miatt azonban a Cybersecurity and Infrastructure Security Agency (CISA) ezt a sebezhetőséget is felvette a Known Exploited Vulnerabilities (KEV) listára. A nyilvánosság tudomására jutott, hogy a közösségi médiában különböző demók és proof-of-concept kódok terjedtek el, amelyek részletesen bemutatják a CVE-2023-36025 kihasználását. A sebezhetőség részleteinek első megjelenése óta egyre több kártevő kampány – amelyek közül az egyik a Phemedrone Stealer hasznos terhet terjeszti – építette be ezt a sebezhetőséget a támadási láncolatába.

FORRÁS