Uma campanha de malware Phemedrone, que rouba informações, explora uma vulnerabilidade da Microsoft Defender SmartScreen (
CVE-2023-36025
) para contornar alertas de segurança do Windows ao abrir arquivos URL.
O Phemedrone é um novo malware de código aberto, que rouba informações e coleta dados armazenados em navegadores da web, carteiras de criptomoedas e softwares como Discord, Steam e Telegram.
Esses dados são então enviados de volta aos atacantes para serem usados em outras atividades maliciosas ou serem vendidos a outros agentes de ameaças.
A falha do Microsoft Defender explorada na campanha Phemedrone é a
CVE-2023-36025
, que foi corrigida durante a atualização de terça-feira de novembro de 2023, onde foi marcada como ativamente explorada em ataques.
"O usuário teria que clicar em um atalho da Internet especialmente criado (.URL) ou em um hiperlink que aponte para um arquivo de atalho da Internet para ser comprometido pelo atacante", explica o boletim de segurança
CVE-2023-36025
.
Inicialmente, não foram compartilhados muitos detalhes sobre a exploração da
CVE-2023-36025
, mas exploits de prova de conceito publicados logo depois elevaram o risco para sistemas Windows não atualizados.
Pesquisadores da Trend Micro informam que a campanha Phemedrone não é a única família de malwares que eles viram visando a falha específica no Windows, com outros casos envolvendo ransomware.
Os atacantes hospedam arquivos URL maliciosos em serviços de nuvem confiáveis como o Discord e o FireTransfer[.]io e muitas vezes os disfarçam usando serviços de encurtamento de URL como o shorturl.at.
Normalmente, ao abrir arquivos URL baixados da internet ou enviados por e-mail, o Windows SmartScreen exibirá um alerta informando que a abertura do arquivo pode prejudicar o computador.
No entanto, quando a vítima é enganada para abrir um dos arquivos URL maliciosos, eles exploram a falha do
CVE-2023-36095
no Windows SmartScreen para que este aviso não seja exibido e o comando seja executado automaticamente.
O arquivo URL baixa um item do painel de controle (.cpl) do servidor de controle do atacante e o executa, lançando um payload de DLL malicioso via rundll32.exe.
A DLL é um carregador PowerShell que busca um arquivo ZIP de um repositório do GitHub contendo o carregador de segunda fase disfarçado como um arquivo PDF (Secure.pdf), um binário legítimo do Windows (WerFaultSecure.exe) e 'wer.dll', usado no side-loading da DLL e para estabelecer persistência.
Uma vez lançado no sistema comprometido, o Phemedrone inicializa sua configuração, descriptografa os itens necessários e rouba dados dos aplicativos alvo, usando o Telegram para a exfiltração de dados.
A Trend Micro informa que o Phemedrone visa os seguintes aplicativos/dados:
- Navegadores Chromium: coleta senhas, cookies e preenchimento automático de navegadores e aplicativos de segurança como LastPass, KeePass, Microsoft Authenticator e Google Authenticator;
- Navegadores Gecko: extrai dados do usuário de navegadores baseados em Gecko, como o Firefox;
- Carteiras de criptomoedas: extrai dados de vários aplicativos de carteira de criptomoedas, incluindo Atom, Armory, Electrum e Exodus;
- Discord: obtém acesso não autorizado ao extrair tokens de autenticação;
- FileGrabber: coleta arquivos de usuário de pastas como Documentos e Desktop;
- FileZilla: captura detalhes FTP e credenciais;
- Informações do sistema: coleta especificações de hardware, geolocalização, detalhes do sistema operacional e capturas de tela;
- Steam: acessa arquivos relacionados à plataforma;
- Telegram: extrai dados do usuário, focando em arquivos de autenticação na pasta "tdata";
A Trend Micro publicou a lista completa de indicadores de comprometimento (IoCs) para a recém-observada campanha Phemedrone.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...