Los delincuentes están aprovechando la vulnerabilidad de omisión SmartScreen de Windows Defender para infectar computadoras con Phemedrone Stealer, una cepa de malware que escanea los dispositivos en busca de información confidencial (contraseñas, cookies, tokens de autenticación, lo que sea) para capturar y filtrar.
Infracciones de malware CVE-2023-36025, que Microsoft parchó en noviembre. Específicamente, la falla permite que Phemedrone y otro malware eludan las medidas de seguridad en Windows que supuestamente ayudan a los usuarios a evitar la ejecución de código hostil. Cuando Redmond publicó una solución, advirtió que los malhechores ya habían encontrado el error y lo habían explotado en la naturaleza.
Poco después de que Microsoft tapara el agujero, se realizó ingeniería inversa al parche para producir un Prueba de concepto Explotar. Ahora que todos saben cómo atacar sistemas usando esta vulnerabilidad, actualice sus dispositivos Windows para cerrar esta ruta si aún no lo ha hecho.
En un artículo publicado hoy, los investigadores de Trend Micro Peter Girnos, Ali Akbar Zohrafi y Simon Zuckerbrown detallan Phemedrone es un ladrón de informaciónincluido cómo funciona, cómo utiliza CVE-2023-36025 para infectar una computadora y cómo detectar su presencia en una red.
Se nos dice que el malware se dirige a una gran cantidad de navegadores y aplicaciones en las computadoras de las víctimas, eliminando información confidencial de los archivos de interés y enviando los datos a los estafadores para que los exploten. Estos objetivos incluyen navegadores basados en Chromium, así como LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile y Microsoft Authenticator. Phemedrone busca cosas como contraseñas, cookies e información de autocompletar para filtrar; Una vez que estos datos llegan a manos de los operadores de malware, pueden usarse para iniciar sesión en las cuentas en línea de las víctimas y causar todo tipo de daños y conflictos.
El código también roba archivos y otros datos de usuario de varias billeteras de criptomonedas y aplicaciones de mensajería, incluidas Discord y Telegram, y detalles de inicio de sesión para la plataforma de juegos Steam.
Además, recopila una variedad de datos de telemetría, incluidas especificaciones de hardware, datos de geolocalización e información del sistema operativo, y toma capturas de pantalla, todo lo cual se envía a los atacantes a través de Telegram o a un servidor de comando y control remoto.
Los malhechores infectan los dispositivos de las víctimas con Phemedrone engañando a las etiquetas para que descarguen y abran el archivo URL. Malicioso de un sitio web, por ejemplo. Este archivo aprovecha CVE-2023-36025 para evadir Windows SmartScreen mientras descarga y abre un archivo .cpl, que es un elemento del Panel de control de Windows. El usuario no tiene la oportunidad de que SmartScreen le advierta que el archivo .url proviene de una fuente que no es confiable y que lo que está haciendo es peligroso y debe bloquearse. En cambio, como resultado de la falla explotada, sus computadoras quedan infectadas. Como dijo el equipo de Trend:
Parece que el archivo .cpl obtenido por la .url es en realidad un archivo .dll y comienza a ejecutarse cuando el Panel de control de Windows abre el elemento del Panel de control. Este archivo .dll actúa como un cargador que llama a PowerShell para realizar la siguiente etapa del ataque, que se obtiene de GitHub.
Esta etapa es otro cargador de PowerShell llamado DATA3.txt, que descarga y abre un archivo .zip también alojado en GitHub. El archivo contiene tres partes:
- WerFaultSecure.exe, un binario legítimo de informes de errores de Windows.
- Wer.dll, un binario malicioso que se descarga cuando se ejecuta WerFaultSecure.exe.
- Secure.pdf, un cargador de segunda etapa codificado con RC4 que finalmente lleva el binario Phemedrone Stealer a la PC para ejecutarlo.
A lo largo del proceso, el malware utiliza diversas técnicas de ofuscación para ocultar su contenido y evitar la detección. Phemedrone Stealer, cuando se ejecuta, descifra los detalles necesarios para acceder a la API de Telegram y comienza a robar la información de la víctima.
Entonces, nuevamente, si no lo hizo en noviembre, es hora de actualizar sus instalaciones de Windows o correr el riesgo de convertirse en la próxima víctima de estos ladrones de datos. ®
«Defensor de la Web. Geek de la comida galardonado. Incapaz de escribir con guantes de boxeo puestos. Apasionado jugador».
More Stories
El código en los datos previos al entrenamiento mejora el rendimiento del LLM en tareas que no son de codificación
Un marco para resolver ecuaciones diferenciales parciales equivalentes puede guiar el procesamiento y la ingeniería de gráficos por computadora
Epiroc ha lanzado una nueva plataforma de perforación de producción de pozos largos